Está en la página 1de 73

ANEXO II

Perfiles de certificados electrnicos


Aprobado por el Consejo Superior de Administracin Electrnica,
en reunin de la Comisin Permanente de 30 de mayo de 2012

NDICE
1 CONSIDERACIONES GENERALES .............................................................................................................. 2
1.1 OBJETO...............................................................................................................................................2
1.2 ALCANCE.............................................................................................................................................2
2 CARACTERIZACIN DE LOS PERFILES DE CERTIFICADOS DE SEDE, SELLO Y EMPLEADO
PBLICO .................................................................................................................................................................. 3
2.1 NIVELES DE ASEGURAMIENTO ...............................................................................................................3
2.2 CLASIFICACIN DE CAMPOS/TAXONOMA ...............................................................................................5
3 IDENTIFICADOR DE OBJETOS ..................................................................................................................... 7
4 IDENTIDAD ADMINISTRATIVA ...................................................................................................................... 7
4.1 SUBJECT NAME ...................................................................................................................................8
4.2 SUBJECT ALTERNATIVE NAME ..............................................................................................................9
5 GUA DE CUMPLIMENTACIN DE CAMPOS DE LOS CERTIFICADOS. ................................................... 9
5.1 SELLO ELECTRNICO PARA LA ACTUACIN AUTOMATIZADA ...................................................................13
5.2 SEDE ELECTRNICA ADMINISTRATIVA ..................................................................................................15
5.3 EMPLEADO PBLICO18
6 ALGORITMOS ............................................................................................................................................... 20
7 CERTIFICADO DE SUBCA ........................................................................................................................... 22
8 CERTIFICADO DE SEDE ELECTRNICA ADMINISTRATIVA ................................................................... 27
8.1 CAMPOS COMUNES A LOS DOS NIVELES...............................................................................................27
8.2 NIVEL ALTO .......................................................................................................................................31
8.3 NIVEL MEDIO .....................................................................................................................................33
9 CERTIFICADO DE SELLO ELECTRNICO ................................................................................................ 35
9.1 CAMPOS COMUNES A LOS DOS NIVELES...............................................................................................35
9.2 NIVEL ALTO .......................................................................................................................................39
9.3 NIVEL MEDIO .....................................................................................................................................42
10 CERTIFICADO DE EMPLEADO PBLICO .................................................................................................. 44
10.1 CRITERIOS DE COMPOSICIN DEL CAMPO CN PARA UN CERTIFICADO DE EMPLEADO PBLICO.................44
10.2 CAMPOS COMUNES A LOS DOS NIVELES...............................................................................................45
10.3 NIVEL ALTO, FUNCIONES SEGREGADAS EN TRES PERFILES DE CERTIFICADO .........................................49
10.4 NIVEL MEDIO .....................................................................................................................................59
11 CUADROS RESUMEN .................................................................................................................................. 62
12 ANEXO: PERFILES BSICOS DE INTEROPERABILIDAD PARA LOS CERTIFICADOS DE PERSONA
FSICA, PERSONA JURDICA Y ENTIDADES SIN PERSONALIDAD JURDICA, USADOS EN LAS
RELACIONES CON LA ADMINISTRACIN GENERAL DEL ESTADO .............................................................. 68
12.1 PERFILES PARA LOS CERTIFICADOS DE PERSONA FSICA, JURDICA Y ENTIDADES SON PERSONALIDAD
JURDICA ........................................................................................................................................................68
13 ANEXO: REFERENCIAS .............................................................................................................................. 73

Pgina 1 de 73
1 Consideraciones generales

1.1 Objeto

El presente documento describe los perfiles de certificados derivados de la Ley 11/2007, de


22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos. Dichos
certificados son: certificado de sede electrnica, certificado de sello electrnico, y certificado
de empleado pblico. Asimismo, se incluye una definicin para el certificado raz de la PKI
emisora. Tambin se incluyen al final del documento unos perfiles bsicos para garantizar la
interoperabilidad de los certificados de personas fsicas, personas jurdicas y entidades sin
personalidad jurdica que facilitar la extraccin de los datos asociados a dichos certificados y
facilitar la interoperabilidad de los mismos para su uso en las relaciones con la
Administracin General del Estado (AGE).

A continuacin se expone un modelo de campos mnimo, basado en los estndares vigentes


e influenciados por las mejores prcticas que actualmente rigen los sistemas de PKI.
Existen dos clasificaciones para los distintos campos: recomendables o no y fijos u
opcionales, dependiendo de su importancia o necesidad, los cuales se describen en el punto
2 como perfiles de certificados. Asimismo, los certificados estn distribuidos entre nivel alto o
nivel medio dependiendo del caso uso, y en consecuencia, del riesgo asociado que conlleve
la aplicacin del certificado.

1.2 Alcance

Se trata del documento de referencia para los certificados derivados de la Ley 11/2007, de 22
de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos, de acuerdo con
las diversas configuraciones acordadas, atendiendo a los diferentes niveles de
aseguramiento.

Segn el artculo 24.1 del Real Decreto 1671/2009, de 6 de noviembre, por el que se
desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrnico de los
ciudadanos a los Servicios Pblicos, la poltica de firma electrnica y certificados en el mbito
de la Administracin General del Estado y de sus organismos pblicos est constituida por
las directrices y normas tcnicas aplicables a la utilizacin de certificados y firma electrnica
dentro de su mbito de aplicacin.

De acuerdo al artculo 18.1 del Real Decreto 4/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Interoperabilidad en el mbito de la Administracin electrnica, la
Administracin General del Estado definir una poltica de firma electrnica y de certificados
que servir de marco general de interoperabilidad para la autenticacin y el reconocimiento
mutuo de firmas electrnicas dentro de su mbito de actuacin. No obstante, dicha poltica
podr ser utilizada como referencia por otras Administraciones pblicas para definir las
polticas de certificados y firmas a reconocer dentro de sus mbitos competenciales.

Segn el artculo 18.4, los perfiles comunes de los campos de los certificados definidos por la
poltica de firma electrnica y de certificados posibilitarn la interoperabilidad entre las
aplicaciones usuarias, de manera que tanto la identificacin como la firma electrnica

Pgina 2 de 73
generada a partir de estos perfiles comunes puedan ser reconocidos por las aplicaciones sin
ningn tipo de restriccin tcnica, semntica u organizativa. Dichos certificados sern los
definidos en la Ley 11/2007 y en la Ley 59/2003, de 19 de diciembre, de firma electrnica y
sus desarrollos normativos.

Estos perfiles habrn de conjugarse con las Polticas de certificacin y Declaracin de


Polticas de certificacin para completar el marco de servicios en torno a los certificados.

Estos perfiles aplican a los mecanismos de identificacin y firma electrnica del Real Decreto
1671/2009 previstos para la AGE; y por tanto, no afectan al hecho de que la AGE admitir
para los procedimientos administrativos electrnicos cualquier certificado reconocido emitido
en el mbito europeo de aplicacin de la Directiva de firma electrnica, y en consonancia con
las obligaciones derivadas de dicha Directiva, de la Ley 59/2003 y las que puedan derivar de
futuras regulaciones en la materia.

2 Caracterizacin de los perfiles de certificados de sede, sello y


empleado pblico

En este apartado se describen los campos que componen los diferentes perfiles de los
certificados de sede, sello y empleado pblico. Antes se debe tener en cuenta una serie de
cuestiones descritas a continuacin, que se tratarn como recomendaciones, las cuales
deben estar en lnea con lo dictado en la poltica concreta de certificacin.

2.1 Niveles de aseguramiento

Con los niveles de aseguramiento, se determina un esquema de garanta para las


aplicaciones y servicios electrnicos que deseen establecer los medios de identificacin y
autenticacin electrnicos. Se establecer el nivel de riesgo asociados al caso de uso
concreto, y en consecuencia, se determinarn los mecanismos de identificacin y
autenticacin admitidos.

Cada uno de los diferentes niveles conllevar un grado de confianza, debido en gran
medida a los requisitos tcnicos y de seguridad que lleve asociados cada servicio pblico
electrnico.

Inicialmente se definen dos niveles de aseguramiento:

o Nivel medio:
Este nivel corresponde a una configuracin de mecanismos de seguridad
apropiada para la mayora de aplicaciones.
El riesgo previsto por este nivel (siguiendo la recomendacin de la OCDE):
Infraccin de seguridad (ej.: el robo de identidad)
Puede producir prdidas econmicas moderadas

Pgina 3 de 73
Prdida de informacin sensible o crtica.
Refutacin de una transaccin con impacto econmico
significativo.
Asimismo, el riesgo previsto por este nivel corresponde al nivel 3 de garanta
previsto en la Poltica Bsica de Autenticacin de IDABC.
Los mecanismos de seguridad aceptables incluyen los certificados X.509 en
software. En los casos de certificados emitidos a personas, se corresponde
con el de un "certificado reconocido", como se define en la Ley 59/2003 para
firma electrnica avanzada, sin dispositivo seguro de creacin de firma.

o Nivel alto:
Este nivel corresponde a una configuracin de mecanismos de seguridad
apropiada para las aplicaciones que precisan medidas adicionales, en
atencin al anlisis de riesgo realizado.
El riesgo previsto por este nivel (siguiendo la recomendacin de la OCDE):
Infraccin de seguridad
Prdidas econmicas importantes
Prdida de informacin altamente sensible o crtica.
Refutacin de una transaccin con impacto econmico muy
significativo.
Asimismo, el riesgo previsto por este nivel corresponde al nivel 4 de garanta
previsto en la Poltica Bsica de Autenticacin de IDABC.
Los mecanismos de seguridad aceptables incluyen los certificados X.509 en
hardware. En los casos de certificados emitidos a personas, se corresponde
con el de "firma electrnica reconocida", como se define en la Ley 59/2003.

La siguiente tabla sintetiza las posibilidades de descomposicin de los diferentes certificados


contemplados y sus usos:

Certificados y perfiles Nivel medio Nivel alto


Perfil nico firma,
Sello para la
Perfil nico firma, autenticacin autenticacin y cifrado.
actuacin
y cifrado. Sw y Hw Dispositivo Hardware
automatizada
Criptogrfico/HSM
Perfil nico autenticacin y
Sede electrnica Perfil nico autenticacin y cifrado.
administrativa cifrado. Sw y Hw Dispositivo Hardware
Criptogrfico /HSM
Perfil independiente para
Perfil nico firma, autenticacin
firma, autenticacin y
y cifrado. Sw y Hw
cifrado.
Empleado pblico Perfil independiente para firma,
Nivel de seguridad alto
autenticacin o cifrado1.
definido en el punto 5.7.4
Sw y Hw
del ENS (*)
(*) NiveldeseguridaddefinidodeacuerdoalAnexoIIpunto5.7.4delRealDecreto3/2010,de8deenero,
porelqueseregulaelEsquemaNacionaldeSeguridadenelmbitodelaAdministracinElectrnica.

1
El certificado de cifrado es opcional.

Pgina 4 de 73
Los certificados incluirn implcitamente, para cada perfil definido, el nivel de aseguramiento
que le corresponde mediante un identificador nico: el identificador del objeto Identidad
Administrativa.

2.2 Clasificacin de campos/taxonoma

Existen dos clasificaciones para los distintos campos: recomendables o no y fijos u


opcionales, dependiendo de su importancia y necesidad, quedando todos los campos
tipificados en unas de estos dos grupos.

2.2.1 Campos recomendables:

Hay un conjunto de campos dentro de los certificados digitales (como Subject, Key Usage...),
que segn estn definidos en los diferentes estndares, se encuentran incluidos en
extensiones opcionales, si bien, en el uso real de certificados, estos campos se emplean casi
de forma habitual ya que sin ellos, el uso de los certificados no sera completo/correcto.

De todos los campos y extensiones posibles para los certificados digitales X509 v3 indicados
en la RFC5280 se consideran recomendables todos aquellos utilizados en este documento
para describir los diferentes perfiles de certificados. Adicionalmente, existen campos y
extensiones que se consideran obligatorios para una correcta/completa adecuacin del
certificado a los perfiles derivados de la Ley 11/2007, y se marcarn en la columna R
(recomendado) con un S. No se podrn aadir ni modificar los usos de las claves
definidos en los perfiles de este documento, correspondientes al campo Key Usage. Para el
certificado de sede no se podrn establecer en el campo Extended Key Usage, usos que
impliquen la realizacin de firma electrnica (no repudio). Para el certificado de sello no se
podrn establecer en el campo Extended Key Usage, usos cuya finalidad sea la identificacin
de una maquina.

No obstante, cada prestador podr aadir campos y extensiones adicionales (diversas


instancias del atributo OU en el SubjectName, lmites de uso cuantitativos y cualitativos de
los certificados -por autorizacin legal expresa en la Ley 59/2003-, extensiones
complementarias) para facilitar el uso de los diferentes perfiles de certificados en las
aplicaciones y sistemas de las diferentes Administraciones.

2.2.2 Campos fijos u opcionales:

Al margen de la categora anterior, existe otra clasificacin de campos denominados fijos u


opcionales que atae exclusivamente para los campos incluidos en el nuevo objeto Identidad
Administrativa definido en el presente documento. Los campos fijos son aquellos que deben
estar obligatoria y debidamente cumplimentados en el certificado. En los perfiles de
certificados que se detallan ms adelante en este documento, dentro la columna R
(recomendado) se marcan con una F, aquellos considerados como FIJOS, y con una O
los considerados como OPCIONALES para cada perfil de certificado.

A continuacin se detallan dichos campos para los diferentes certificados:

Pgina 5 de 73
Los campos singulares acordados para identificar al certificado de sello electrnico son:

o Fijos:
Descripcin del tipo de certificado
Nombre de la entidad suscriptora
Nmero de Identificacin Fiscal de entidad suscriptora

o Opcionales:
Denominacin de sistema o componente informtico
Direccin de correo electrnico
Datos de identificacin personal del titular del rgano administrativo:
Nombre de pila
Primer apellido
Segundo apellido
DNI o NIE

Los campos singulares acordados para identificar al certificado de sede electrnica son:

o Fijos:
Descripcin del tipo de certificado
Nombre descriptivo de la sede electrnica
Denominacin de Nombre del dominio / direccin IP
Nombre de la entidad suscriptora
NIE de la entidad suscriptora

o Opcionales: Ninguno

Los campos singulares acordados para identificar al certificado de empleado pblico son:

o Fijos:
Descripcin del tipo de certificado
Datos de identificacin personal de titular del certificado
Nombre de pila
Primer apellido
Segundo apellido
DNI o NIE
Nombre de la entidad en la que est suscrito el empleado
NIE de la entidad

o Opcionales:
Unidad a la que est adscrito el cargo o puesto que desempea el empleado
pblico
Cargo o puesto de trabajo.
Nmero de identificacin de personal (NIP, NRP,)
Direccin de correo electrnico

Pgina 6 de 73
3 Identificador de objetos

Como parte de la estandarizacin, los campos, principalmente alineados a la RFC 5280


(X509 v3), tienen OIDs (object identifiers, secuencia de nmeros para identificar un campo)
los cuales son unvocos internacionalmente.

Los prestadores de servicios de certificacin debern identificar cada tipo de certificado


(Sede, sello, empleado pblico) con un OID especfico, que deber ser unvoco y que no
podr emplearse para identificar tipos diferentes, polticas o versiones de certificados,
emitidos por dicho prestador.

Dentro de los certificados existirn campos comunes a los ya vigentes o estandarizados, ej:
commonName (cuyo objectId es 2.5.4.3) o serialNumber (cuyo objectId es 2.5.4.5). Tambin
disponen de un conjunto de campos nuevos o propietarios llamados Identidad
Administrativa, la cual identifica al Suscriptor del certificado de forma unvoca y completa.

Para el objeto Identidad Administrativa, al tratarse de un conjunto de campos completamente


nuevo, se ha optado por la siguiente opcin para asignarles los ObjectIds:

Se utilizar el nmero ISO/IANA del MPR 2.16.724.1.3.5.X.X como base para identificarlo, de
este modo se establecera un identificador unvoco a nivel internacional, haciendo que
cualquier prestador pueda utilizarlo.

Ejemplos:

2.16.724.1.3.5.1.1=SEDE ELECTRONICA (Nivel Alto)


2.16.724.1.3.5.1.2=SEDE ELECTRONICA (Nivel Medio)
2.16.724.1.3.5.2.1=SELLO ELECTRONICO PARA LA ACTUACION AUTOMATIZADA (Nivel Alto)
2.16.724.1.3.5.2.2=SELLO ELECTRONICO PARA LA ACTUACION AUTOMATIZADA (Nivel Medio)
2.16.724.1.3.5.3.1=CERTIFICADO ELECTRNICO DE EMPLEADO PUBLICO (Nivel Alto)
2.16.724.1.3.5.3.2= CERTIFICADO ELECTRNICO DE EMPLEADO PUBLICO (Nivel Medio)

4 Identidad administrativa

La Identidad Administrativa, se trata de un esquema de nombres incluido en los certificados,


el cual facilitar la utilizacin de los certificados e identificacin del suscriptor del certificado
debido principalmente a tres motivos:

a) Eficiencia: en un nico campo (SubjectAlternativeName) se almacenar toda la


informacin referente al custodio/poseedor (Subject) del certificado, de forma que
accediendo a determinados OIDs de ese campo (previamente definidos) se
encontrarn los datos ms usados.

Nota: dicha informacin es redundante puesto que se encuentra distribuida en otros


campos del certificado.

Pgina 7 de 73
b) Semntica: el uso que actualmente se le est dando al campo CommonName, es un
poco arbitrario, para evitar esta situacin se separa claramente la informacin en
varios OIDs (uno para nombre, otro para primer apellido, segundo apellido etc.)

c) Definicin: La situacin de certificacin actual, corresponde a un modelo relativamente


maduro de certificacin, los prestadores dan usos diferentes al mismo campo, lo que
dificulta su utilizacin. Al usar este modelo unificado, se puede saber exactamente
(con su significado particular), lo que est almacenado en cada campo.

Los campos normalizados en esta opcin son el Subject name y el SubjectAlternativeName


puesto que se trata de una estrategia de mnimos. Dicha estrategia, consiste en exigir la
existencia de ciertos campos y la obligatoriedad de rellenarlos as como la opcin de
cumplimentar opcionalmente otros campos.

Deben cumplir con la normativa RFC 5280 (x.509 Public Key Infraestructure. Certificate and
Certificate Revocation List CRL Profile)

4.1 Subject Name

El campo Subject Name representa la identidad de la persona o entidad que recibe el


certificado.

4.1.1 Composicin del nombre

El nombre contenido en el Subject Name adopta la forma de un Nombre Distinguido, de


acuerdo con la Recomendacin ITU-T X.501, formado por un conjunto de atributos, cuya
semntica definen las especificaciones tcnicas correspondientes.

El nombre del suscriptor para cualquier prestador de servicios de certificacin dado. Dicho
prestador podr emitir ms de un certificado al mismo suscriptor con el mismo nombre (por
ejemplo, en el periodo de renovacin del certificado).

Las especificaciones aplicables son las siguientes:

- IETF RFC 5280: Incorpora los atributos X.520 ms habituales, para cualquier tipo de
nombre dentro del certificado.
- IETF RFC 3739: Perfila el empleo de los atributos X.520 ms habituales, para su uso
en los nombres dentro de certificados reconocidos.

Esta composicin resulta el mnimo exigible, pudiendo el prestador incluir atributos


adicionales en el nombre distinguido, siempre que no resulten contradictorios con los
contenidos de los atributos de mnimos.

Pgina 8 de 73
4.2 Subject Alternative Name

En la extensin Subject Alternative Name se suelen incluir identidades alternativas de la


misma persona que aparece como suscriptora del certificado.

La especificacin IETF RFC 5280 prev el empleo de los siguientes tipos de datos:

- Identidad basada en correo electrnico.


- Identidad basada en nombre diferenciado (DN), que se suele emplear para construir
un nombre alternativo basado en atributos propietarios, que no resultan ambiguos en
ningn caso (por ejemplo, FNMT-RCM, IZENPE, ACCV, CATCert u otros).
- Identidad basada en nombre de dominio de Internet (DNS).
- Identidad basada en direccin IP.
- Identidad basada en identificador de recurso universal (URI).

De todos ellos se puede contener ms de una instancia (por ejemplo, diversas direcciones de
correo electrnico).

Todos estos nombres deben ser verificados por el prestador de servicios de certificacin,
cuando se incluyan en los certificados.

Como opcin a valorar, se aporta una propuesta de DN para identificacin inequvoca de


personas fsicas y suscriptores de certificados, para facilitar su procesamiento eficiente por
aplicaciones automticas, an resultando redundante con la informacin ya contenida en
otros campos.

Esta identidad, que denominamos "identidad administrativa ", la puede construir el prestador,
de forma que se disponga de toda la informacin de forma homognea dentro del certificado,
especialmente debido a que algunos componentes de los nombres tienen semntica
diferente, en funcin del tipo de certificado.

El contenido de parte de los campos descritos a continuacin se normalizar en la medida de


lo posible. A continuacin se propone un modelo de normalizacin de los campos variables
de los certificados.

5 Gua de cumplimentacin de campos de los certificados.

La finalidad de esta propuesta es la de emplear los mismos nombres para todos los
certificados, de forma que exista un marco comn. De este modo, se asignar exactamente
el mismo nombre a sellos, sedes, organizaciones, puestos y unidades, etc. para toda la
Administracin General del Estado.

En cuanto a las normas de codificacin de los campos, en general no hay reglas complejas
de nomenclatura puesto que recomendado por la RFC 5280 se usa UTF-82 string, puesto que
2
Para mas informacin ver RFC 2279 mejorada en 3629 (UTF-8, a transformation format of ISO 10646)

Pgina 9 de 73
codifica grupos de caracteres internacionales incluyendo caracteres del alfabeto latino con
diacrticos (, , , , , , etc.) Por ejemplo, el carcter ee (), que se representa
en unicode como 0x00F1. Las recomendaciones que se deben seguir en todo momento
vienen descritas en la columna Formato/Observaciones dentro de cada perfil descrito en el
documento, donde se incluye: el tipo de campo, su longitud y un breve ejemplo.

Junto con las recomendaciones particulares en cada perfil, se habran de seguir los
siguientes consejos para todos los literales variables:

Todos los literales se introducen en maysculas, con las excepciones del nombre de
dominio/subdominio y el correo electrnico que estarn en minsculas.
No incluir tildes en los literales alfabticos
No incluir ms de un espacio entre cadenas alfanumricas.
No incluir caracteres en blanco al principio ni final de cadenas alfanumricas.
Se admite la inclusin de abreviaturas en base a una simplificacin, siempre que no
supongan dificultad en la interpretacin de la informacin.

A continuacin se detallan una serie listas y recomendaciones para rellenar dichos campos
junto con unas propuestas para su gestin que complementan convenientemente el perfil de
los certificados. Se comienza con una aproximacin a campos genricos que se aplican en la
mayora de los certificados.

Campos entidad suscriptora y unidades

Se incluyen dentro de este grupo todas aquellos Departamentos ministeriales, rganos u


organismos pblicos, como Agencias, Entidades pblicas u organismos autnomos
correspondientes a la AGE.

Estos campos se implementan en el Subject name y Subject alternative name de los


certificados y para completarlo debe tenerse en cuenta siempre el formato requerido (String
UTF8 [RFC 5280] Size 128) siguiendo en la medida de lo posible las normas que se
describen posteriormente.

El personal al servicio de la AGE sigue la siguiente distribucin, tal y como se refleja en el


Boletn Estadstico del personal al servicio de las Administraciones Pblicas:

ADMINISTRACION GENERAL DEL ESTADO


INSTITUCIONES SANITARIAS S. SOCIAL
MINISTERIOS Y OO.AA. Y AREAS VINCULADAS
DOCENCIA NO UNIVERSITARIA
CENTROS PENITENCIARIOS
SEGURIDAD SOCIAL (ENTIDADES GESTORAS Y SERVICIOS
COMUNES)
PATRIMONIO NACIONAL
AGENCIA ESTATAL ADMINISTRACION TRIBUTARIA
MINISTERIOS Y OO.AA.
MINISTERIO DE AGRICULTURA, ALIMENTACION Y MEDIO
AMBIENTE
MINISTERIO DE ASUNTOS EXTERIORES Y COOPERACION
MINISTERIO DE EDUCACIN, CULTURA Y DEPORTE

Pgina 10 de 73

MINISTERIO DE DEFENSA

MINISTERIO DE ECONOMIA Y COMPETITIVIDAD

MINISTERIO DE FOMENTO

MINISTERIO DE INDUSTRIA, ENERGIA Y TURISMO

MINISTERIO DEL INTERIOR

MINISTERIO DE JUSTICIA

MINISTERIO DE PRESIDENCIA

MINISTERIO DE SANIDAD ,SERVICIOS SOCIALES E
IGUALDAD
MINISTERIO DE EMPLEO Y SEGURIDAD SOCIAL
MINISTERIO DE HACIENDA Y ADMINISTRACIONES
PUBLICAS
FUERZAS Y CUERPOS DE SEGURIDAD DEL ESTADO
FUERZAS ARMADAS
ADMINISTRACION DE JUSTICIA
ENTIDADES PUBLICAS EMPRESARIALES Y ORGANISMOS PUBLICOS CON
REGIMEN ESPECIFICO

En cuanto a las Unidades, el campo incluido tanto en Subject como en Subject alternative
name identifica la unidad organizativa, en la que est incluido el suscriptor del certificado.

Para rellenarlo se debe tener el cuenta el formato requerido (string UTF8 [RFC 5280] size
128) siguiendo en la medida de lo posible la nomenclatura descrita en documento
Unidades.doc

A continuacin se describe una pequea muestra:


SECRETARIA GENERAL
UNIDAD DE VERIFICACION Y CONTROL
UNIDAD DE APOYO DE LA DIRECCION GENERAL
VICESECRETARIA GENERAL TECNICA
GABINETE TECNICO
UNIDAD DE SERVICIOS ECONOMICOS Y FINANCIEROS
AREA DE RECURSOS HUMANOS Y ADMINISTRACION ECONOMICA
AREA GENERAL DE APOYO ADMINISTRATIVO
UNIDAD DE SOPORTE INFORMATICO
UNIDAD DE RECURSOS HUMANOS

Las unidades ms frecuentes vienen descritas en el fichero adjunto, aunque no se


encuentran todas las existentes o en vigor en la Administracin General del Estado. El
documento de descripcin unidades dispone tanto de las Entidades suscriptoras, como de las
Unidades a las que est adscrito un puesto o cargo con las que figuran en el Registro Central
de Personal a 14/11/2007, se trata de una foto sujeta a cambios. El documento est
accesible en el portal Funciona del Ministerio de Hacienda y Administraciones Pblicas
(http://www.funciona.es).

Si bien en el fichero anterior en formato de hoja de clculo se ha representado un


subconjunto de campos, el documento Unidades disponible en Funciona, tiene una
estructura dividida en posiciones que explicamos a continuacin, y que se describe en el
fichero Descripcin, dentro del mismo portal:

Pgina 11 de 73
CONCEPTO POSICIONES
Cdigo mnemotcnico 1-19
Cdigo numrico 21-26
Denominacin 28-127
Nivel de la unidad 129-129
Cdigo numrico de la unidad de la que depende 131-136
Fecha de ltima actualizacin (AAAAMMDD) 138-145
Provincia 147-148
Localidad 150-152

Cargo o puesto de trabajo

Este campo incluido tanto en Subject como en Subject alternative name identifica el puesto o
cargo de la persona fsica que le vincula con la Administracin, organismo o entidad de
derecho pblico suscriptora del certificado. Para rellenarlo se debe tener el cuenta el formato
requerido (string UTF8 [RFC 5280] size 128), siguiendo, en la medida de lo posible, la
nomenclatura descrita en documento vinculado Tabla descripcin puestos RCP-APE 14-11-
2007.xls adjunto. Se trata de una foto a da 14/11/07 en el Registro Central de Personal,
sujeta a variacin diaria e incluye diferentes hojas en funcin de los colectivos de personal
recogidos. Dichas descripciones estn en texto libre, excepto para personal laboral de
convenio nico.

Dentro del documento se incluyen tres hojas con las descripciones ms frecuentes de:

1. Descripciones de puestos de personal funcionario.


2. Descripciones de puestos de personal laboral de convenio nico de la AGE.
3. Descripciones de puestos de personal laboral de otros convenios y fuera de convenio.

Es importante resaltar que, en el momento de la realizacin de la versin actual del


documento, no se encuentran en el Registro Central de Personal los denominados altos
cargos de la Administracin, a nivel de denominacin de cargo o puesto.

Los puestos ms frecuentes vienen descritos en el fichero adjunto, a continuacin se


describe una pequea muestra:

JEFE DE SECCION'
CONSEJERO
SECRETARIO GENERAL
JEFE DE SERVICIO
ABOGADO DEL ESTADO
DIRECTOR DE PROGRAMA
VOCAL ASESOR
ANALISTA DE SISTEMAS
ANALISTA PROGRAMADOR
OPERARIO
ADMINISTRATIVO
AUXILIAR ADMINISTRATIVO
ORDENANZA
ASESOR


JEFE DE REA

Pgina 12 de 73
5.1 Sello electrnico para la actuacin automatizada

Si bien el artculo 18.2 de la Ley 11/2007 determina la inclusin del nmero de identificacin
fiscal y la denominacin correspondiente, pudiendo contener la identidad de la persona titular
en el caso de los sellos electrnicos de rganos administrativos, se recomienda la insercin
de esta identidad, dada la garanta que ello ofrece a los destinatarios de las firmas y procesos
de autenticacin electrnica.

En cuanto a la aplicacin del certificado de sello se requiere, adems de la determinacin de


una taxonoma determinada, la caracterizacin del uso interno y del dominio semntico de los
sellos emitidos.

Campos variables Ejemplos


Descripcin del tipo de certificado sello electrnico
SELLO ELECTRONICO DEL MINISTERIO DE
LA PRESIDENCIA
Denominacin de sistema o REGISTRO ELECTRONICO
componente informtico (se incluyen SISTEMA DE VERIFICACION DE DATOS DE
varios ejemplos) IDENTIDAD
PLATAFORMA DE VALIDACION Y FIRMA
ELECTRONICA. @FIRMA
Nombre de la entidad suscriptora MINISTERIO DE LA PRESIDENCIA
Nmero de Identificacin Fiscal de
S2833002
entidad suscriptora
Direccin de correo electrnico juanantonio.delacamara.espanol@mpr.es
Datos de identificacin personal del
titular del rgano administrativo
Nombre de pila JUAN ANTONIO
Primer apellido DE LA CAMARA
Segundo apellido ESPAOL
DNI o NIE 00000000G

Se exponen a continuacin tres ejemplos concretos de situaciones relacionadas con el


certificado de sello y las recomendaciones para su definicin:

Caso I: uso de certificado de sello general para el organismo:

Este caso de uso consiste en la emisin de un sello de aplicacin general para todos los
sistemas y servicios de un organismo, como por ejemplo podra suceder en un sello de
Ministerio. Este uso ha de acompaarse de procedimientos de seguridad complementarios
que solventen la vulnerabilidad existente al replicar las claves e instalarlas en diferentes
servidores de aplicaciones, y que ofrezcan las mayores garantas a los ciudadanos y
administraciones receptores de las firmas electrnicas realizadas con dicho certificado.

En relacin con esta situacin, deben realizarse las siguientes recomendaciones:

1. En general, debe realizarse un anlisis de riesgos y del entorno, del que se derive la
posibilidad de empleo de un sello para todos los usos.

Pgina 13 de 73
2. En estos casos, es necesario realizar la designacin conveniente el nombre del
sistema o componente informtico, dado que habra de ser generalista para englobar
el uso global previsto para la entidad suscriptora.
Ejemplo del campo Denominacin de sistema o componente informtico: Sello
electrnico del Ministerio.

3. Como excepcin a lo indicado, se puede recomendar el empleo de un sello general


para un organismo en los escenarios de intercambio de documentos electrnicos a
travs de la red SARA, dado que se trata de un uso muy especfico que tiende a una
cierta centralizacin en plataformas especficas de catalogacin e intercambio
interadministrativo de datos y documentos, de forma interoperable.

Caso II: uso de certificado de sello de unidad orgnica

Este caso se basa en la emisin de un sello a una unidad orgnica dentro de una
organizacin como un Departamento ministerial. El certificado de sello identificara y
autenticara a dicha unidad de forma unvoca, aunque el NIF correspondiente se asociara al
organismo o Departamento ministerial del que dependiera.

Ejemplo del campo: Denominacin de sistema o componente informtico: Sello electrnico


de la Direccin General de Modernizacin Administrativa, Procedimientos e Impulso de la
Administracin Electrnica, y como nombre de la entidad suscriptora: Ministerio de
Hacienda y Administraciones Pblicas.

En relacin con esta situacin, deben realizarse las siguientes recomendaciones:

1. En general, se recomienda el empleo de esta posibilidad de forma ordinaria, sin


embargo, no es conveniente llegar a un grado muy alto de desagregacin en las
unidades orgnicas dada la complejidad en la administracin del ciclo de vida.

2. Dado que los sistemas que apliquen sistemas de identificacin y autenticacin


basados en certificados de sello electrnico suelen estar administrados por unidades
de tecnologa, es una prctica conveniente asociar como denominacin del sistema o
componente a dicha unidad de tecnologa.
Ejemplo: Denominacin de sistema o componente informtico: Sello electrnico de
la Subdireccin General de Tecnologa de la Informacin y de las Comunicaciones.

3. Se recomienda emitir certificados a la unidad orgnica para su uso general, por todas
las aplicaciones, si bien resulta tambin aceptable emitir sellos especficos para
aplicaciones diferentes, cuando se acredite esta necesidad.

Caso III. Uso de certificado de sello asociado a un sistema de informacin

Otra variante consiste en designar el sello al sistema o plataforma que realiza la aplicacin de
la identificacin y firma electrnica.
Ejemplo: Denominacin de sistema o componente informtico: Registro electrnico.

Pgina 14 de 73
5.2 Sede electrnica administrativa

Se va a producir una gran heterogeneidad en la configuracin de los escenarios tcnicos que


determinan una sede electrnica. As habr sedes electrnicas hospedadas servidores
individuales, en granjas de servidores, en sistemas clusterizados que atienden a direcciones
virtuales, etc.

Se dan a continuacin unas recomendaciones para la aplicacin del certificado de sede a


partir de diferentes configuraciones, y se revisar una propuesta semntica de los
certificados.
Para la designacin de sedes electrnicas dentro de una organizacin, se seguirn criterios
claros y sin ambigedad de la sede. No se prescribe un nmero o criterio concreto para
determinar el nmero de sedes existentes en un organismo pblico o Departamento
ministerial.

Ejemplos de designacin de sedes electrnicas seran (Nombre descriptivo de la sede


electrnica):
Centro de Transferencia de Tecnologas de las Administraciones Pblicas
060
Portal oficial del Ministerio del Ministerio de Hacienda y Administraciones Pblicas

En cuanto al empleo de un nombre de dominio o una direccin IP para designar la sede, se


dispone de mayor flexibilidad en asignacin de nombres de dominio y subdominio que
direcciones IP. El nombre del dominio o subdominio, va a determinar en muchas ocasiones la
identidad de la sede electrnica ya que no se concibe la emisin de certificados mltiples de
sede electrnica para un mismo nombre de dominio, subdominio, o direccin IP.

Campos variables Ejemplos


Descripcin del tipo de certificado sede electrnica
CENTRO DE TRANSFERENCIA DE
TECNOLOGIAS DE LAS ADMINISTRACIONES
Nombre descriptivo de la sede
PUBLICAS
electrnica (se incluyen varios
060
ejemplos)
PORTAL DEL MINISTERIO DE HACIENDA Y
ADMINISTRACIONES PBLICAS
Denominacin de Nombre del ctt.mpr.es
dominio / direccin IP (se incluyen 060.es
varios ejemplos) minhap.es
MINISTERIO DE HACIENDA Y
Nombre de la entidad suscriptora
ADMINISTRACIONES PBLICAS
Nmero de Identificacin Fiscal de
S2833002
entidad suscriptora

A continuacin se exponen tres ejemplos concretos de usos relacionadas con el certificado


de sede electrnica en diferentes escenarios tecnolgicos y las recomendaciones para
resolver los nombres de dominio/subdominio o direccin IP y externalizacin de servicios:

Pgina 15 de 73
Caso I: uso de certificados de sede electrnica en granjas de servidores

Este caso de uso consiste en el empleo de certificados de sede electrnica en granjas de


servidores de pginas HTTPs. Dependiendo de los requisitos de disponibilidad de una sede
electrnica, puede resultar frecuente que se precise ms de un servidor de pginas, de forma
que resulta necesario organizar una coleccin de servidores fsicos que sirven pginas
correspondientes a una misma sede lgica.

Los modelos de implementacin de las granjas resultan variables, dependiendo de la


tecnologa que se emplee en cada caso. Uno de estos modelos de implementacin asigna a
cada servidor de pginas un nombre de mquina diferente, y reparte la carga de trabajo o los
procesos en las diferentes mquinas, de forma que el usuario visualiza la conexin a
diferentes servidores (por ejemplo, http://www1.servidor.es, http://www2.servidor.es).

Cuando en este modelo se desea asegurar la comunicacin mediante el empleo de


certificados, existen dos opciones:

1. La primera opcin consiste en emitir un certificado para cada servidor, de forma que se
deben producir tantos certificados como mquinas fsicas existen.

2. La segunda opcin consiste en emitir un nico certificado, en cuyo campo


Denominacin de nombre del dominio / direccin IP se incluye un comodn (en el
ejemplo, "http://*.servidor.es"), lo que permite copiar la misma clave privada en
diversos servidores, e instalar el mismo certificado.

Con todo, siendo la primera opcin la ms recomendable, existen otros modelos, que
resultan ms correctos, como por ejemplo crear una sede electrnica lgica, con
independencia del nmero de servidores que existan fsicamente, mediante balanceadores
de carga.

En este caso, puede existir un nico certificado de sede electrnica, pero como asume todo
el trabajo de establecimiento y gestin del canal seguro, se recomienda el empleo de bienes
de equipo criptogrficos de alta capacidad de trabajo dedicados de forma especfica.

Caso II: uso de certificados de sede en casos de hosting externo

Este caso de uso consiste en la obtencin e instalacin de un certificado de sede electrnica


en una mquina en rgimen de hospedaje en un prestador de servicios informticos (hosting
externo), dado que en este caso el operador de la sede electrnica puede no ser la propia
Administracin, sino dicha empresa.

Esta situacin puede generar riesgos especficos relativos a la integridad y disponibilidad de


la clave privada del certificado de la sede, y en su consecuencia se hace preciso establecer
algunas medidas adicionales de seguridad.

1. Se recomienda generar las claves de los certificados de sede electrnica en soporte


hardware, bajo el control de la Administracin, mediante la realizacin de una
ceremonia de claves, de forma previa a la instalacin del hardware criptogrfico en el

Pgina 16 de 73
centro de datos del prestador del servicio de hosting, o de forma posterior, con las
debidas medidas de seguridad.

2. Una vez se haya realizado la generacin segura de las claves, se pueden solicitar los
certificados correspondientes, instalarlos e inicializar la plataforma, todo ello con
controles apropiados.

3. Se recomienda, asimismo, implementar sistemas de administracin remota de dicho


equipo criptogrfico, de forma que el control de las claves siempre se encuentre en
manos de la Administracin.

Caso III: uso de certificados de sede en casos de outsourcing de servicios

Este caso de uso consiste en el empleo de certificados de sede electrnica en situaciones en


que la prestacin completa de un servicio pblico se encuentra externalizada.

Se hace preciso diferenciar dos situaciones:

1. Una primera situacin se refiere a la externalizacin completa del servicio mediante


una frmula de gestin indirecta de servicios, en que, de acuerdo con la normativa
legal vigente, se presta el servicio mediante una entidad de derecho pblico o una
empresa pblica. En este primer caso, el certificado deber identificar a dicha entidad
de derecho pblico o a la empresa pblica.

2. La segunda situacin resulta anloga a la del caso de hosting de servicios, pero con la
particularidad de que la Administracin cede tambin la gestin de claves y de
certificados a la empresa prestadora del servicio.

La segunda de las situaciones presentadas exige medidas adicionales de control,


especficamente orientadas a reducir diversos riesgos:

1. Se recomienda regular minuciosamente en el contrato de outsourcing la autorizacin y


rgimen de uso de los certificados de sede electrnica, as como las consecuencias
para los casos de infraccin.

2. En algunos casos puede darse la situacin de que el prestador de servicios de


certificacin que debe emitir el certificado no acepte una solicitud tramitada por el
prestador del servicio de outsourcing, de modo que resulta recomendable establecer
un procedimiento para que dicha solicitud sea realizada por la Administracin para su
posterior tratamiento por el outsourcer.

3. En aquellos casos en que sea preciso utilizar servicios de hosting externos que no
permitan la instalacin de los certificados de sede definidos en este documento, ya sea
por razones tcnicas o por poltica interna del prestador de servicios, se podrn utilizar
certificados que, an no cumpliendo los perfiles especificados en este documento,
identifiquen claramente la Administracin responsable, segn lo recogido en el artculo
18.1 del Real Decreto 1671/2009 En estos casos, los organismos pblicos de la AGE
velarn porque se implanten las medidas de seguridad adecuadas para garantizar la
identificacin y autenticacin de la Sede y la integridad y disponibilidad del certificado

Pgina 17 de 73
utilizado. Esta circunstancia se har constar en la misma Sede electrnica y se
comunicar a los departamentos responsables de la gestin de certificados admitidos
en la AGE, para su constancia.

5.3 Empleado pblico

En el caso de los certificados del personal al servicio de la AGE designado como empleado
pblico, la casustica en la asignacin de informacin a los certificados es an mayor que en
el caso de sede y sello electrnico. A ello se suma el amplio volumen de certificados a emitir
previstos y la diversidad de Prestadores que se prev que emitan dichos certificados.

Veamos ejemplos de campos variables de empleados pblicos:

Campos variables Ejemplos


Descripcin del tipo de certificado certificado electrnico de empleado pblico
Datos de identificacin personal del
titular del rgano administrativo
- Nombre de pila JUAN ANTONIO
- Primer apellido DE LA CAMARA
- Segundo apellido ESPAOL
- DNI o NIE 00000000G
Nombre de la entidad suscriptora MINISTERIO DE FOMENTO
Nmero de Identificacin Fiscal de
S2833002
entidad suscriptora
Direccin de correo electrnico juanantonio.delacamara.espanol@mfom.es
DIVISIN DE PROSPECTIVA Y
Unidad a la que est adscrito el cargo o
TECNOLOGA DEL TRANSPORTE
puesto que desempea el empleado
SUBDIRECCION GENERAL DE PROCESO
pblico
DE DATOS
Cargo o puesto de trabajo ANALISTA PROGRAMADOR
Nmero de identificacin de personal
A02APE1056
(NIP, NRP,)

A continuacin se exponen tres ejemplos concretos de usos relacionadas con el certificado


de empleado pblico y las recomendaciones para resolverlos:

Caso I: uso de certificados por empleados pblicos vinculados a varios rganos

Este caso de uso consiste en determinadas personas, que por razn de su cargo o puesto de
trabajo ostentan otros cargos en otros organismos dependientes o vinculados al organismo
principal, como por ejemplo sucede con el Director General de un Ministerio que es
presidente de un Ente Pblico dependiente del mismo.

Pgina 18 de 73
En relacin con esta situacin, se pueden realizar las siguientes recomendaciones:

1. En general, se deberan disear las aplicaciones de forma que estas personas no


tengan que disponer de un certificado para cada organismo, sino que puedan emplear
el certificado del organismo principal para sus actuaciones como firmante de los
restantes organismos.

2. La recomendacin anterior debe entenderse sin perjuicio de los casos en que un


organismo suministra una tarjeta de empleado pblico con funcionalidades adicionales
a la firma electrnica y, en particular, cuando dicha tarjeta se emplea como
instrumento para el acceso fsico a las instalaciones, o para el acceso lgico a
sistemas operativos y redes. En estos casos, las personas citadas dispondrn de
tantas tarjetas como organismos en los que acten.

Caso II: uso de certificados por empleados pblicos de mltiples rganos/organismos

Este caso de uso consiste en determinas personas que, por razn de su rol o funcin, se
encuentran habilitados para actuar en diferentes rganos u organismos, y, de forma bastante
particular, se refiere a los empleados con habilitacin nacional, como sucede con los
secretarios, interventores y tesoreros de administracin, que pueden actuar en diversos
organismos diferentes, en funcin de las necesidades.

Este caso de uso resulta similar al anteriormente presentado, con la diferencia de que, en
este caso, por tratarse de funciones transversales a diversos departamentos y, en algunos
caso, a diversas administraciones, resulta recomendable centralizar la emisin y gestin
posterior de los certificados en algn organismo, como por ejemplo, el colegio
correspondiente o en la unidad administrativa oportuna, de acuerdo con la normativa vigente.

En estos casos, no se deber posteriormente emitir certificados a estos roles, en cada uno de
los rganos u organismos en que estn temporalmente adscritos, aunque ello podr suceder
cuando se acredite la necesidad, como tambin se ha presentado anteriormente (tarjetas de
acceso fsico o lgico, por ejemplo).

Caso III: uso de certificados por personas con necesidad de cifrado

Este caso de uso contempla las necesidades de gestin y uso de los certificados cuando se
necesita cifrado, dado que no es obligatorio que el sistema lo ofrezca.

Se pueden realizar las siguientes recomendaciones:

En general, se recomienda emplear certificados especficos de cifrado, con segregacin


de claves, e implantar procedimientos de recuperacin de claves de cifrado que debern
ajustarse a la normativa aplicable.

Cuando el prestador que suministra los certificados de firma no ofrezca certificados de


cifrado (como por ejemplo en el caso del DNI electrnico, cuando es utilizado por
empleados pblico), o cuando el prestador no ofrezca servicios de recuperacin de

Pgina 19 de 73
claves, debern implantarse mtodos de cifrado mediante claves simtricas bajo el control
y responsabilidad de cada Administracin Pblica.

Nmeros de identificacin fiscal (NIF) y personal (NIP, NRP,)


Se concibe el nmero de identificacin fiscal, tanto a nivel de entidad (concepto de CIF) como
personal (DNI). Para designarlo se seguir la siguiente nomenclatura:

- Entidades: incluir la letra y los nmeros. Ej: S2833002


- Personas: incluir los nmeros y la letra al final, sin separacin de guin. Ej:
00000000G

El Nmero de Identificacin Personal (NIP) en el Registro Central de Personal est


compuesto por ocho posiciones numricas y una posicin de control alfanumrica. El NIP es
la clave que identifica a las personas en el Sistema de Informacin de Registro Central de
Personal.

El NIP se construye dependiendo:

1. Del tipo de documento que aport la persona en su primera relacin con la


Administracin General del Estado (AGE).
2. De la fecha de incorporacin en su primera relacin con la AGE.

NIP Documento presentado en la


Nmero Control primera Relacin de Servicios Ejemplos
(8 posiciones) (1 posicin) con la AGE

00001234
DNI sin letra Blanco, 1, 2 DNI 00001234-1
00001234-2
Secuencial generado por
N Desde 01/01/2003 0001234-N
el sistema Otro
Construido partiendo del documento
3, 4, 5, 6, 7, 8, 9 Antes de 01/01/2003 0001234-3
documento presentado

6 Algoritmos

A continuacin se muestran una serie de requisitos en el campo de los algoritmos, los cuales
pueden resultar interesantes para crear un marco comn entre los prestadores.
Es importante particularizar el empleo de algoritmos y sus longitudes de clave en los
diferentes perfiles propuestos para los tres certificados nuevos.

Se establece un escenario de seguridad bsico denominado entorno de seguridad genrico


de la AGE, que determinar el criterio de robustez y viabilidad aplicable para cada perfil de

Pgina 20 de 73
certificado. Los dos niveles de aseguramiento recogidos en apartado 2 del presente
documento se considerarn dentro de dicho escenario.

Adicionalmente y al amparo del artculo 4.4 de la Ley 59/2003, de 19 de diciembre, de firma


electrnica (uso de la firma electrnica en entornos sensibles para la seguridad pblica, la
defensa nacional, el manejo de informacin clasificada) podra establecerse un entorno de
alta seguridad para los prestadores o Administraciones que as lo requieran. Dicho entorno
estara fuera del alcance de este documento y debera seguir las recomendaciones de la gua
CCN-STIC 405, que alinea los algoritmos y longitudes de clave frente a las amenazas de las
que hay que proteger hoy da la informacin clasificada nacional o internacional (OTAN, UE,
etc.).

A) Escenario de seguridad genrico de la Administracin

Para el escenario de seguridad genrico de la Administracin, se plasman a continuacin la


caracterizacin de algoritmos y longitudes de clave. Para determinar las requisitos que se
incluyen a continuacin se ha tenido en cuenta la especificacin tcnica ETSI TS 102 176-1,
en su versin 2.0.0 de marzo de 20073. Se distinguen requerimientos criptogrficos para las
autoridades emisoras de los Prestadores de Servicios y para entidades o certificados finales:

Actualmente, la mayora de los prestadores utilizan como algoritmo de firma SHAwithRSA


tanto en los certificados de las races y subraces como en los certificados de entidades
finales. Sobre el uso de SHA-1, SHA-2, y uso de longitudes de clave RSA de 1024, 2048 o
4096, hay diversidad de criterios, aunque el ms generalizado es el que aplica el escenario
ms dbil: SHA-1withRSA a 1024 para entidades finales y 2048 para races y subraces.

Por lo tanto, se ofrecen las siguientes opciones, que han sido debidamente recogidas en los
casos de uso de los perfiles reflejados en el presente documento. Se distingue su aplicacin
en un nivel de aseguramiento alto y medio.

Debido a la constante evolucin de la tecnologa, estos requisitos se revisarn y podrn


establecerse nuevas actualizaciones.

Races y subraces de PKIs de Prestadores de Servicios de Certificacin:

Nivel Algoritmo y longitud mnima


Entidad Observaciones
Aseguramiento
Se contemplan SHA-256 y
generaciones duales que aseguren
AC raz y
Alto y Medio SHA-1 RSA-2048 la continuidad
subraz
Igualmente, se admiten longitudes
RSA de 4096.

3
Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters form Secure Electronic Signatures,
Part I

Pgina 21 de 73
Entidades finales:

Nivel Algoritmo y longitud mnima


Entidad Observaciones
Aseguramiento
Se contemplan SHA-256 y
Certificados
Alto SHA-1 RSA-2048 generaciones duales que aseguren
finales
la continuidad.
Certificados Se recomienda usar longitudes de
Medio SHA-1 RSA-1024
finales clave RSA 2048 o superior.

A continuacin se describen los campos que componen los tres certificados derivados de la
Ley 11/2007 (certificado de sede electrnica, certificado de sello electrnico y certificado de
empleado pblico), dividiendo cada uno de ellos entre los niveles de aseguramiento en el que
nos encontremos (medio o alto). Dentro de cada perfil se ha dividido a su vez entre campos
propios del certificado y sus extensiones.

Tambin se propone, a modo de orientativo, un certificado de CA raz tipo para poder ser
utilizado por prestadores y Administraciones que deseen comenzar la emisin de los nuevos
perfiles de certificados.

La actualizacin de estos algoritmos y longitudes mnimas estarn dictados por las directrices
de seguridad del CCN y de la futura regulacin europea sobre firma electrnica. Estas
directrices contemplarn los periodos de migracin y de transicin.

7 Certificado de SubCA

Campo Contenido R Formato/Observaciones

1. X.509v1 Field -

1.1. Version 2 (= v3) S Integer:=2 ([RFC5280] describe la


versin del certificado al usar
extensiones es decir v3 su valor debe
ser 2)

1.2. Serial Number Nmero identificativo nico S Integer. SerialNumber = ej: 111222.
del certificado. Establecido automticamente por la
Entidad de Certificacin. [RFC5280]
integer positivo, no mayor 20 octetos (1-
2159)
Se utilizar para identificar de manera
unvoca el certificado

1.3. Signature SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo de
Algorithm Signature , longitud de clave algoritmo. Al tratarse de un certificado
de 2048 bits o superior. raz las restricciones son mayores que
las de los dems certificados. OID
2.16.840.1.101.3.4.2

Pgina 22 de 73
Campo Contenido R Formato/Observaciones

1.4. Issuer Informacin relativa al S Todos los campos destinados a


Distinguished prestador identificar/describir el prestador de
Name servicios sern codificados en formato
UTF8

1.4.1.Country (C) Pas donde el prestador de S C = p. ej: ES (PrintableString) Size [RFC


servicios expide los 5280] 3
certificados

1.4.2.Organization Denominacin (nombre R O = p. ej: MINISTERIO DE LA


(O) oficial de la organizacin) PRESIDENCIA (String UTF8) Size [RFC
del prestador de servicios de 5280] 128
certificacin (emisor del
certificado).

1.4.3.Locality (L) Localidad/direccin del L = p. ej: MADRID (String UTF8)


prestador de servicios de
Size [RFC 5280] 128
certificacin
Si bien el campo est estipulado para
introducir la localidad, se contempla la
posibilidad de incluir la direccin
completa

1.4.4.Organizational Unidad organizativa dentro R OU = p. ej: AUTORIDAD DE


Unit (OU) del prestador de servicios, CERTIFICACION CERTICA (String
responsable de la emisin UTF8) Size [RFC 5280] 128
del certificado.
Se contempla el nombre de la entidad
que ha emitido el certificado

1.4.5.Serial Number Nmero nico de R NIF = NIF entidad de certificacin ej:


identificacin de la entidad S2833002 (Printable String ) Size = 9
de certificacin, aplicable de
acuerdo con el pas. En
Espaa, NIF.

1.4.6.Common Nombre comn de la R CN = p. ej: CERTICA Root CA (String


Name (CN) organizacin prestadora de UTF8) Size 80
servicios de certificacin
Size [RFC 5280] 80
(emisor del certificado)

1.5. Validity 12 aos (recomendado) S Los datos de validez creados antes del
2050 se codificarn utilizando UTCTime.
A partir del 2050 se utilizar la
codificacin GeneralizedTime en la cual
se utilizan dos dgitos ms para
especificar el ao (4 en lugar de 2)

1.5.1.Not Before Fecha de inicio de validez S Fecha de inicio de validez, formato:


UTCTime YYMMDDHHMMSSZ

1.5.2.Not After Fecha de fin de validez S Fecha fin de validez, formato: UTCTime
YYMMDDHHMMSSZ

Pgina 23 de 73
Campo Contenido R Formato/Observaciones

1.6. Subject Informacin relativa a la S Segn la RFC5280 esta parte se ha de


SubCA rellenar con carcter obligatorio
Segn la ETSI-QC se debe reflejar
obligatoriamente el campo Country
Ver RFC3739 / ETSI 101862

1.6.1.Country (C) Estado cuya ley rige el CN S C = p. ej: ES (PrintableString) Size [RFC
del Subject 5280] 3

1.6.2.Organization Denominacin (nombre S O = p. ej: AUTORIDAD DE


(O) oficial de la organizacin) CERTIFICACION CERTICA (String
del prestador de servicios de UTF8) Size [RFC 5280] 128
certificacin (suscriptor del
Se contempla el nombre de la entidad
certificado).
que ha emitido el certificado

1.6.3.Locality (L) Localidad/direccin del L = p. ej: MADRID (String UTF8)


prestador de servicios de
Size [RFC 5280] 128
certificacin (suscriptor del
certificado). Si bien el campo est estipulado para
introducir la localidad, se contempla la
posibilidad de incluir la direccin
completa

1.6.4.Organizational Unidad organizativa dentro S OU = p. ej: MINISTERIO DE LA


Unit (OU) del prestador de servicios, PRESIDENCIA (String UTF8) Size [RFC
responsable de la emisin 5280] 128
del certificado.

1.6.5.Serial Number Nmero nico de NIF = NIF entidad suscriptora ej:


identificacin de la entidad, S2833002 (Printable String) Size = 9
aplicable de acuerdo con el
pas. En Espaa, NIF.

1.6.6.Common Nombre comn de la S CN = p. ej: CERTICA Root CA (String


Name (CN) organizacin prestadora de UTF8) Size 80
servicios de certificacin
Size [RFC 5280] 80
(suscriptor del certificado).

1.7. Subject Public Key Clave pblica del prestador, S Campo para transportar la clave pblica
Info codificada de acuerdo con el y para identificar el algoritmo con el cual
algoritmo criptogrfico. se utiliza la clave. (String UTF8)

NOTA: Se recomienda incluir todos los campos marcados como R (recomendado).


Es obligatorio incluir al menos uno de los campos indicados con R.

Pgina 24 de 73
7.1.1 Extensiones del certificado

Campo Contenido R Formato/Observaciones

2. X.509v3 Extensions -

2.1. Authority Key Identifier Presente, de acuerdo con S Medio para identificar la clave pblica
RFC 5280. correspondiente a la clave privada
utilizada para firmar un certificado, por
ejemplo en los casos en que el emisor
tiene mltiples claves de firma.

2.1.1.Key Identifier Path de identificacin de Identificador de la clave pblica del


certificacin emisor (String UTF8)

2.1.2.AuthorityCertIssuer Nombre de la CA a la que corresponde


la clave identificada en keyIdentifier
(String UTF8) Size 80

2.1.3.AuthorityCertSerial Nmero de serie del certificado de CA


Number SerialNumber =.ej: 11112222 (Integer)

2.2. Subject Key Identifier Presente, de acuerdo con S Identificador de la clave pblica del
RFC 5280. suscriptor o poseedor de claves
(derivada de utilizar la funcin de Hash
sobre la clave pblica del sujeto).
Medio para identificar certificados que
contienen una clave pblica particular
y facilita la construccin de rutas de
certificacin.

2.3. Key Usage S Campo crtico para determinar el uso


(dependiente del certificado)

2.3.1.Digital Signature No seleccionado 0 Se utiliza cuando se realiza la funcin


de autenticacin

2.3.2.Content No seleccionado 0 Se utiliza para realizar firma


Commitment electrnica
Se utiliza para gestin y transporte de
2.3.3.Key Encipherment No seleccionado 0
claves

Se utiliza para cifrar datos que no sean


2.3.4.Data Encipherment No seleccionado 0
claves criptogrficas

Se usa en el proceso de acuerdo de


2.3.5.Key Agreement No seleccionado 0
claves

Se usa para firmar certificados. Se


2.3.6.Key Certificate Seleccionado 1 S
utiliza en los certificados de
Signature
autoridades de certificacin

Pgina 25 de 73
Campo Contenido R Formato/Observaciones
Se usa para firmar listas de revocacin
2.3.7.CRL Signature Seleccionado 1 S
de certificados

2.4. Certificate Policies Polticas de S


certificacin/DPC

2.4.1.Policy Identifier OID asociado a la DPC o S Ej: OID Private enterprise:


PC 1.3.6.1.4.1.<num prest>.1.3.1, u OID
Country assignment (2.16...) / Any
Policy

2.4.2.Policy Qualifier ID Especificacin de la DPC S

2.4.2.1. CPS URL de la DPC o, en su S URL de las condiciones de uso ej:


Pointer caso, documento legal de www.mpr.es/certica/emision/dpc. Se
tercero. recomienda que siempre se referencie
a travs de un link. (IA5String).

2.4.2.2. User Ej: "Certificado raz. S Campo explicitText. Se recomienda


Notice Consulte las condiciones que siempre se referencie a travs de
de uso en " + URL de la un link. Se recomienda longitud no
DPC o, en su caso, superior a 200 caracteres.
documento legal de
tercero

2.5. Subject Alternate Nombre alternativo de la


Names persona de contacto de la
entidad suscriptora

2.5.1.rfc822Name Correo electrnico de Correo electrnico de contacto en la


contacto de la entidad entidad suscriptora ej:
suscriptora soporte.certica@mpr.es (String) Size
[RFC 5280] 255

2.6. Issuer Alternative Name Nombre alternativo de la


persona de contacto de la
entidad de Certificacin
emisora

2.6.1.rfc822Name Correo electrnico de Correo electrnico de contacto en la


contacto de la entidad de entidad de certificacin emisora ej:
certificacin emisora. soporte.certica@mrp.es (String) Size
[RFC 5280] 255

2.7. cRLDistributionPoint S Indica cmo se obtiene la informacin


de CRL.

2.7.1.distributionPoint Punto de distribucin de S Web donde resida la CRL (punto de


la CRL, nmero 1 distribucin 1-https o LDAP con
servidor autenticado). (String UTF8)

2.7.2.distributionPoint Punto de distribucin de Web donde resida la CRL (punto de


la CRL, nmero 2 distribucin 2- https o LDAP con
servidor autenticado). (String UTF8)

Pgina 26 de 73
Campo Contenido R Formato/Observaciones

2.8. Authority Info Access S

2.8.1.Access Method Id-ad-ocsp S ID de On-line Certificate Status


Protocol

2.8.2.Access Location (direccin web) S URL de On-line Certificate Status


Protocol. Especifica el emplazamiento
de la informacin (String UTF8)

2.9. Basic Constraints

2.9.1.Subject type CA S Indicador para reconocer que se trata


de un certificado raz

2.9.2.Path Length Ninguno [RFC 5280] Puede especificarse un


Constraints nmero mximo de niveles,

8 Certificado de sede electrnica administrativa

El prestador deber asegurar la unicidad de los DN (Distinguished Names) de los certificados


de sede electrnica administrativa.

8.1 Campos comunes a los dos niveles

Campo Contenido R Formato/Observaciones

1. X.509v1 Field -

1.1. Version 2 (= v3) S Integer:=2 ([RFC5280] describe la


versin del certificado al usar
extensiones es decir v3 su valor debe
ser 2)

1.2. Serial Number Nmero identificativo nico S Integer. SerialNumber = ej: 111222.
del certificado. Establecido automticamente por la
Entidad de Certificacin. [RFC5280]
integer positivo, no mayor 20 octetos
(1- 2159)
Se utilizar para identificar de manera
unvoca el certificado

1.3. Issuer Distinguished Informacin relativa al S Todos los campos destinados a


Name prestador identificar/describir el prestador de
servicios sern codificados en formato
UTF8

Pgina 27 de 73
Campo Contenido R Formato/Observaciones

1.3.1.Country (C) Pas donde el prestador de S C = p. ej: ES (PrintableString ) Size


servicios expide los [RFC 5280] 3
certificados

1.3.2.Organization (O) Denominacin (nombre S O = p. ej: MINISTERIO DE


oficial de la organizacin) ECONOMA Y COMPETITIVIDAD
del prestador de servicios (String UTF8) Size [RFC 5280] 128
de certificacin (emisor del
certificado).

1.3.3.Locality (L) Localidad/direccin del L = p. ej: MADRID (String UTF8)


prestador de servicios de
Size [RFC 5202] 128
certificacin
Si bien el campo est estipulado para
introducir la localidad, se contempla la
posibilidad de incluir la direccin
completa

1.3.4.Organizational Unidad organizativa dentro S OU = p. ej: AUTORIDAD DE


Unit (OU) del prestador de servicios, CERTIFICACION CERTICA (String
responsable de la emisin UTF8) Size [RFC 5280] 128
del certificado.
Se contempla el nombre de la entidad
que ha emitido el certificado

1.3.5.Serial Number Nmero nico de NIF = NIF entidad suscriptora ej:


identificacin de la entidad, S2833002 (Printable String) Size = 9
aplicable de acuerdo con el
pas. En Espaa, NIF.

1.3.6.Common Name Nombre comn de la S CN = p. ej: CERTICA Root CA (String


(CN) organizacin prestadora de UTF8) Size 80
servicios de certificacin
Size [RFC 5280] 80
(emisor del certificado)

1.4. Validity 3 aos (recomendado) S Los datos de validez creados antes del
2050 se codificarn utilizando
UTCTime. A partir del 2050 se utilizar
la codificacin GeneralizedTime en la
cual se utilizan dos dgitos ms para
especificar el ao (4 en lugar de 2)

1.4.1.Not Before Fecha de inicio de validez S Fecha de inicio de validez, formato:


UTCTime YYMMDDHHMMSSZ

1.4.2.Not After Fecha de fin de validez S Fecha fin de validez, formato:


UTCTime YYMMDDHHMMSSZ

1.5. Subject Todos los campos S Segn la RFC5280 esta parte se ha de


destinados a rellenar con carcter obligatorio
identificar/describir el
Segn la ETSI-QC se debe reflejar
custodio/responsable del
obligatoriamente el campo Country
certificado sern
codificados utilizando UTF- Ver RFC3739 / ETSI 101862
8

Pgina 28 de 73
Campo Contenido R Formato/Observaciones

1.5.1.Country (C) Estado cuya ley rige el S C = p. ej: ES (PrintableString) Se


nombre, que ser codificar de acuerdo a ISO 3166-1-
"Espaa" por tratarse de alpha-2 code elements Size [RFC
entidades pblicas. 5280] 3

1.5.2.Organization (O) Denominacin (nombre S O = p. ej: MINISTERIO DE


oficial de la organizacin) ECONOMA Y COMPETITIVIDAD
del suscriptor de servicios (String UTF8) Size [RFC 5280] 128
de certificacin (custodio
del certificado)

1.5.3.Organizational Descripcin del tipo de S Tipo= sede electrnica (String UTF8)


Unit (OU) certificado Size [RFC 5280] 128

1.5.4.Organizational El nombre descriptivo de la S OU= p. ej: PORTAL 060


Unit (OU) sede.

1.5.5.Serial Number Nmero secuencial nico S SerialNumber = p. ej: S2833002.


asignado por el prestador Nmero secuencial nico asignado por
(no deber haber el prestador (Printable String) ) Size
repetidos), se recomienda [RFC 5280] 64
usar el NIF de la entidad
responsable.

1.5.6.Common Name Denominacin de nombre S CN= p. ej: 060.es.


(CN) de dominio (DNS o IP)
Denominacin de nombre de dominio
donde residir el
o IP. Conforme al estndar X.500,
certificado.
asegurando que dicho nombre tenga
sentido y no de lugar a ambigedades.
(String UTF8) ) Size [RFC 5280] 80

1.6. Subject Public Key Clave pblica de la sede, S Campo para transportar la clave
Info codificada de acuerdo con pblica y para identificar el algoritmo
el algoritmo criptogrfico. con el cual se utiliza la clave. (String
UTF8)

8.1.1 Extensiones del certificado

Campo Contenido R Formato/Observaciones

2. X.509v3 Extensions -

2.1. Authority Key Identifier Presente, de acuerdo con S Medio para identificar la clave pblica
RFC 5280. correspondiente a la clave privada
utilizada para firmar un certificado, por
ejemplo en los casos en que el emisor
tiene mltiples claves de firma.

2.1.1.Key Identifier Path de identificacin de Identificador de la clave pblica del


certificacin emisor (String UTF8)

Pgina 29 de 73
Campo Contenido R Formato/Observaciones

2.1.2.AuthorityCertIssuer Nombre de la CA a la que corresponde


la clave identificada en keyIdentifier
(String UTF8) Size 80

2.1.3.AuthorityCertSerial Nmero de serie del certificado de CA


Number (Integer)

2.2. Subject Key Identifier Presente, de acuerdo con S Identificador de la clave pblica del
RFC 5280. suscriptor o poseedor de claves
(derivada de utilizar la funcin de Hash
sobre la clave pblica del sujeto).
Medio para identificar certificados que
contienen una clave pblica particular
y facilita la construccin de rutas de
certificacin.

2.3. Key Usage S Campo crtico para determinar el uso


(dependiente del certificado)

2.3.1.Digital Signature Seleccionado 1 S Se utiliza cuando se realiza la funcin


de autenticacin

2.3.2.Content No seleccionado 0 Se utiliza cuando se realiza la funcin


Commitment de firma electronica
Se utiliza para gestin y transporte de
2.3.3.Key Encipherment Seleccionado 1 S
claves

Se utiliza para cifrar datos que no sean


2.3.4.Data Encipherment No seleccionado 0
claves criptogrficas

Se usa en el proceso de acuerdo de


2.3.5.Key Agreement No seleccionado 0
claves

Se usa para firmar certificados. Se


2.3.6.Key Certificate No seleccionado 0
utiliza en los certificados de
Signature
autoridades de certificacin

Se usa para firmar listas de revocacin


2.3.7.CRL Signature No seleccionado 0
de certificados

2.4. Issuer Alternative Name Nombre alternativo de la


persona de contacto de
la Entidad de
Certificacin emisora

2.4.1.rfc822Name Correo electrnico de Correo electrnico de la persona de


contacto de la Entidad de contacto de la entidad de certificacin
Certificacin emisora emisora. Ie. soporte.certica@mpr.es
(String) Size [RFC 5280] 255

Pgina 30 de 73
Campo Contenido R Formato/Observaciones

2.5. cRLDistributionPoint S Indica cmo se obtiene la informacin


de CRL.

2.5.1.distributionPoint Punto de distribucin de S Web donde resida la CRL (punto de


la CRL, nmero 1 distribucin 1- https o LDAP con
servidor autenticado). (String UTF8)

2.5.2.distributionPoint Punto de distribucin de Web donde resida la CRL (punto de


la CRL, nmero 2 distribucin 2-https o LDAP con
servidor autenticado). (String UTF8)

2.6. Authority Info Access S

2.6.1.Access Method Id-ad-ocsp S ID de On-line Certificate Status


Protocol

2.6.2.Access Location (direccin web) S URL de On-line Certificate Status


Protocol. Especifica el emplazamiento
de la informacin (String UTF8)

A continuacin se describen los campos diferenciados para los niveles alto y medio debido a
su contenido o sus OIDs de Identidad administrativa:

8.2 Nivel Alto

8.2.1 Certificado:

Campo Contenido R Formato/Observaciones

1. X.509v1 Field -

1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 2048 bits certificado raz), y longitud de 2048 por
tratarse de un certificado de nivel alto.
OID 1.3.14.3.2.26

8.2.2 Extensiones del certificado

Campo Contenido R Formato/Observaciones

2.1. Extended Key Usage S Uso extendido del certificado

2.1.1.Server Autenticacin TSL web S


Authentication Server

Pgina 31 de 73
Campo Contenido R Formato/Observaciones

2.2. Certificate Policies Polticas de S


certificacin/DPC

2.2.1.Policy Identifier OID asociado a la DPC o S OID Private enterprise: p.ej.


PC 1.3.6.1.4.1.<num prest>.1.3.2.1, u OID
Country assignment (2.16...)

2.2.2.Policy Qualifier ID Especificacin de la DPC S

2.2.2.1. CPS URL de la DPC o, en su S URL de las condiciones de uso ej:


Pointer caso, documento legal de www.minhap.es/certica/emision/dpc.
tercero. Se recomienda que siempre se
referencie a travs de un link.
(IA5String).

2.2.2.2. User p.ej. "Certificado S Campo explicitText. Se recomienda


Notice reconocido de sede que siempre se referencie a travs de
electrnica, nivel alto. un link. Se recomienda longitud no
Consulte las condiciones superior a 200 caracteres.
de uso en " + URL de la
DPC o, en su caso,
documento legal de
tercero

2.3. Subject Alternative Nombre alternativo de la S


Names sede electrnica

2.3.1.rfc822Name Correo electrnico de Correo electrnico de contacto de la


contacto de la sede sede electrnica ej:
electrnica portal.060@seap.minhap.es (String)
Size [RFC 5280] 255

2.3.2.dnsName Nombre de Dominio DNS Nombre Dominio DNS de la Sede ej:


de la Sede 060.es (String UTF8) Size = 128

2.3.3.Directory Name Identidad Administrativa S Campos especficos definidos por la


Administracin para los certificados
Ley 11/2007. (Sequence)

2.3.3.1. Tipo de Indica la naturaleza del F OID: 2.16.724.1.3.5.1.1.1


certificado certificado
Tipo= sede electrnica (String UTF8)
Size = 31

2.3.3.2. Nombre La entidad propietaria de F Entidad Suscriptora = ej: MINISTERIO


de la entidad dicho certificado DE HACIENDA Y
suscriptora ADMINISTRACIONES PBLICAS
(String UTF8) Size = 80
OID: 2.16.724.1.3.5.1.1.2

2.3.3.3. NIF Nmero nico de F NIF = NIF entidad suscriptora ej:


entidad identificacin de la S2833002 (String UTF8) Size = 9
suscriptora entidad
OID: 2.16.724.1.3.5.1.1.3

Pgina 32 de 73
Campo Contenido R Formato/Observaciones

2.3.3.4. Nombre Breve descripcin de la F Nombre descriptivo de la sede


descriptivo Sede indicando un electrnica, asegurando que dicho
de la sede nombre nombre tenga sentido y no de lugar a
electrnica ambigedades.
Nombre sede = ej: PORTAL 060
(String UTF8) Size = 128
OID: 2.16.724.1.3.5.1.1.4

2.3.3.5. Denomi- Dominio al que pertenece F Nombre Dominio IP = ej: 060.es


nacin de la Sede (String UTF8) Size = 128
nombre de
dominio IP OID: 2.16.724.1.3.5.1.1.5

8.3 Nivel Medio

8.3.1 Certificado:

Campo Contenido R Formato/Observaciones

1. X.509v1 Field -

1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de al menos 1024 certificado de nivel alto), y longitud de
bits al menos 1024 bits. OID 1.3.14.3.2.26

8.3.2 Extensiones del certificado

Campo Contenido R Observaciones

2.1. Extended Key Usage S Uso extendido del certificado

2.1.1.Server Autenticacin TSL web S


Authentication Server

2.2. Certificate Policies Polticas de S


certificacin/DPC

2.2.1.Policy Identifier OID asociado a la DPC o S OID Private enterprise: ej:


PC 1.3.6.1.4.1.<num prest>.1.3.2.2, u
OID Country assignment (2.16...)
2.2.2.Policy Qualifier ID Especificacin de la DPC S

2.2.2.1. CPS URL de la DPC o, en su S URL de las condiciones de uso ej:


Pointer caso, documento legal de www.minhap.es/certica/emision/dpc.
tercero. Se recomienda que siempre se
referencie a travs de un link.
(IA5String).

Pgina 33 de 73
Campo Contenido R Observaciones

2.2.2.2. User Ej: "Certificado reconocido S Campo explicitText. Se recomienda


Notice de sede electrnica, nivel que siempre se referencie a travs
medio. Consulte las de un link. Se recomienda longitud
condiciones de uso en " + no superior a 200 caracteres.
URL de la DPC o, en su
caso, documento legal de
tercero

2.3. Subject Alternate S Lugar donde se contemplarn los


Names valores establecidos para la
Identidad Administrativa

2.3.1.rfc822Name Correo electrnico de Correo electrnico de contacto de la


contacto de la sede sede electrnica ej:
electrnica portal.060@mpr.es (String) Size
[RFC 5280] 255

2.3.2.dnsName Nombre de Dominio DNS Nombre Dominio DNS de la Sede ej:


de la Sede 060.es (String UTF8) Size = 128

2.3.3.Directory Name Identidad administrativa S Campos especficos definidos por la


Administracin para los certificados
Ley 11/2007. (Sequence)

2.3.3.1. Tipo de Indica la naturaleza del F OID: 2.16.724.1.3.5.1.2.1


certificado certificado
Tipo= sede electrnica (String
UTF8) Size = 31

2.3.3.2. Nombre La entidad propietaria de F Entidad Suscriptora = ej:


de la entidad dicho certificado MINISTERIO DE HACIENDA Y
suscriptora ADMINISTRACIONES PBLICAS
(String UTF8) Size = 80
OID: 2.16.724.1.3.5.1.2.2

2.3.3.3. NIF Nmero nico de F NIF = NIF entidad suscriptora ej:


entidad identificacin de la entidad S2833002 (String UTF8) Size = 9
suscriptora
OID2.16.724.1.3.5.1.2.3

2.3.3.4. Nombre Breve descripcin de la F Nombre descriptivo de la sede


descriptivo Sede indicando un nombre electrnica, asegurando que dicho
de la sede nombre tenga sentido y no de lugar a
electrnica ambigedades.
Nombre sede = ej: PORTAL 060
(String UTF8) Size = 128
OID: 2.16.724.1.3.5.1.2.4

2.3.3.5. Denomi- Dominio al que pertenece F Nombre Dominio IP =ej: 060.es


nacin de la Sede (String UTF8) Size = 128
nombre de
OID2.16.724.1.3.5.1.2.5
dominio IP

Pgina 34 de 73
9 Certificado de sello electrnico

El prestador deber asegurar la unicidad de los DN (Distinguished Names) de los certificados


de sello electrnico para la actuacin automatizada.

Indicar que, por motivos de compatibilidad, es posible la inclusin en el Common Name del
Subject ciertos atributos que pudieran ser necesarios para el tratamiento, como es el caso del
nombre de la entidad suscriptora o responsable del sello, y su NIF.

9.1 Campos comunes a los dos niveles

Campo Contenido R Observaciones

1. X.509v1 Field -

1.1. Version 2 (= v3) S Integer:=2 ([RFC5280] describe la


versin del certificado al usar
extensiones es decir v3 su valor
debe ser 2)

1.2. Serial Number Nmero identificativo nico del S Integer. SerialNumber = ej: 111222.
certificado. Establecido automticamente por la
Entidad de Certificacin. [RFC5280]
integer positivo, no mayor 20
octetos (1- 2159)
Se utilizar para identificar de
manera unvoca el certificado

1.3. Issuer Distinguished S Todos los campos destinados a


Name identificar/describir el prestador de
servicios sern codificados en
formato UTF8

1.3.1.Country (C) ES S C = p. ej: ES (PrintableString) Size


[RFC 5280] 3

1.3.2.Organization Denominacin (nombre oficial S O = p. ej: MINISTERIO DE


(O) de la organizacin) del HACIENDA Y
prestador de servicios de ADMINISTRACIONES PBLICAS
certificacin (emisor del (String UTF8) Size [RFC 5280] 128
certificado).

1.3.3.Locality (L) Localidad/direccin del L = p. ej: MADRID (String UTF8)


prestador de servicios de
Size [RFC 5280] 128
certificacin
Si bien el campo est estipulado
para introducir la localidad, se
contempla la posibilidad de incluir
la direccin completa

Pgina 35 de 73
Campo Contenido R Observaciones

1.3.4.Organizational Unidad organizativa dentro del S OU = p. ej: AUTORIDAD DE


Unit (OU) prestador de servicios, CERTIFICACION CERTICA (String
responsable de la emisin del UTF8) Size [RFC 5280] 128
certificado.
Se contempla el nombre de la
entidad que ha emitido el
certificado

1.3.5.Serial Number Nmero nico de identificacin NIF = NIF entidad suscriptora ej:
de la entidad, aplicable de S2833002 (Printable String) Size =
acuerdo con el pas. En Espaa, 9
NIF.

1.3.6.Common Name Nombre comn de la S CN = p. ej: CERTICA Root CA


(CN) organizacin prestadora de (String UTF8) Size 80
servicios de certificacin (emisor
Size [RFC 5280] 80
del certificado)

1.4. Validity 3 aos (recomendado) S Los datos de validez creados antes


del 2050 se codificarn utilizando
UTCTime. A partir del 2050 se
utilizar la codificacin
GeneralizedTime en la cual se
utilizan dos dgitos ms para
especificar el ao (4 en lugar de 2)

1.4.1.Not Before Fecha de inicio de validez S Fecha de inicio de validez, formato:


UTCTime YYMMDDHHMMSSZ

1.4.2.Not After Fecha de fin de validez S Fecha fin de validez, formato:


UTCTime YYMMDDHHMMSSZ

1.5. Subject Todos los campos destinados a S Segn la RFC5280 esta parte se ha
identificar/describir el de rellenar con carcter obligatorio
custodio/responsable del Segn la ETSI-QC se debe reflejar
certificado sern codificados obligatoriamente el campo Country
utilizando UTF-8
Ver RFC3739 / ETSI 101862

1.5.1.Country (C) Estado cuya ley rige el nombre, S C = p. ej: ES (PrintableString) Size
que ser "Espaa" por tratarse [RFC 5280] 3
de entidades pblicas.

1.5.2.Organization Denominacin (nombre oficial S O = p. ej: MINISTERIO DE


(O) de la organizacin) del HACIENDA Y
suscriptor de servicios de ADMINISTRACIONES PBLICAS
certificacin (custodio del (String UTF8) Size [RFC 5280] 128
certificado).

1.5.3.Organizational Indica la naturaleza del S OU = sello electrnico (String


Unit (OU) certificado UTF8) Size [RFC 5280] 128

1.5.4.Serial Number Nmero secuencial nico S SerialNumber = p. ej: S2833002.


asignado por el prestador (no Nmero secuencial nico asignado
deber haber repetidos), se por el prestador (Printable String) )
recomienda usar el NIF de la Size [RFC 5280] 64
entidad.

Pgina 36 de 73
Campo Contenido R Observaciones

1.5.5.Surname Primer y segundo apellido, de Primer apellido, espacio en blanco,


acuerdo con documento de segundo apellido del responsable
identidad (DNI/Pasaporte), as del certificado de acuerdo con el
como su DNI (Ver Criterios de DNI o en caso de extranjero en el
Composicin del campo CN pasaporte. (String UTF8) Size 80
para un empleado pblico).
p. ej: DE LA CAMARA ESPAOL -
DNI 00000000G

1.5.6.Given Name Nombre de pila, de acuerdo con Nombre de pila del responsable del
documento de identidad certificado de acuerdo con el DNI o
(DNI/Pasaporte) en caso de extranjero en el
pasaporte. (String UTF8) Size 40
p. ej: JUAN ANTONIO

1.5.7.Common Name Denominacin de sistema o CN= p. ej: PLATAFORMA DE


(CN) aplicacin de proceso VALIDACION Y FIRMA
automtico. ELECTRONICA. @FIRMA. Nombre
descriptivo del sistema automtico.
Asegurando que dicho nombre
tenga sentido y no de lugar a
ambigedades. (String UTF8) )
Size [RFC 5280] 80

1.6. Subject Public Key Clave pblica del sello, S Campo para transportar la clave
Info codificada de acuerdo con el pblica y para identificar el
algoritmo criptogrfico. algoritmo con el cual se utiliza la
clave. (String UTF8)

9.1.1 Extensiones del certificado

Campo Contenido R Observaciones

2. X.509v3 Extensions -

2.1. Authority Key Identifier Presente, de acuerdo con S Medio para identificar la clave pblica
RFC 5280. correspondiente a la clave privada
utilizada para firmar un certificado, por
ejemplo en los casos en que el emisor
tiene mltiples claves de firma.

2.1.1.Key Identifier Identificador de la clave (String UTF8)


pblica del emisor

2.1.2.AuthorityCertIssuer Nombre de la CA a la que (String UTF8) Size 80


corresponde la clave
identificada en
keyIdentifier

2.1.3.AuthorityCertSerial Nmero de serie del Nmero de serie del certificado de CA


Number certificado de CA (Integer)

Pgina 37 de 73
Campo Contenido R Observaciones

2.2. Subject Key Identifier Presente, de acuerdo con S Identificador de la clave pblica del
RFC 5280. suscriptor o poseedor de claves
(derivada de utilizar la funcin de Hash
sobre la clave pblica del sujeto).
Medio para identificar certificados que
contienen una clave pblica particular
y facilita la construccin de rutas de
certificacin.

2.3. Key Usage S Campo crtico para determinar el uso


(dependiente del certificado)

2.3.1.Digital Signature Seleccionado 1 S Se utiliza cuando se realiza la funcin


de autenticacin

2.3.2.Content Seleccionado 1 S Se utiliza cuando se realiza la funcin


Commitment de firma electrnica
Se utiliza para gestin y transporte de
2.3.3.Key Encipherment Seleccionado 1 S
claves

Se utiliza para cifrar datos que no


2.3.4.Data Encipherment Seleccionado 1 S
sean claves criptogrficas

Se usa en el proceso de acuerdo de


2.3.5.Key Agreement No seleccionado 0
claves

Se usa para firmar certificados. Se


2.3.6.Key Certificate No seleccionado 0
utiliza en los certificados de
Signature
autoridades de certificacin

Se usa para firmar listas de revocacin


2.3.7.CRL Signature No seleccionado 0
de certificados

2.4. Extended Key Usage S Uso extendido del certificado

2.4.1.Email Protection Seleccionado S Proteccin de mail

2.4.2.Client Seleccionado S Autenticacin cliente


Authentication

2.5. Issuer Alternative Name Nombre alternativo de la


persona de contacto de la
Entidad de Certificacin
emisora

2.5.1.rfc822Name Correo electrnico de Correo electrnico de contacto de la


contacto de la Entidad de entidad de certificacin emisora ie:
Certificacin emisora soporte.certica@minhap.es (String)
Size [RFC 5280] 255

Pgina 38 de 73
Campo Contenido R Observaciones

2.6. cRLDistributionPoint S Indica cmo se obtiene la informacin


de CRL.

2.6.1.distributionPoint Punto de distribucin de la S Web donde resida la CRL (punto de


CRL, nmero 1 distribucin 1 -https o LDAP con
servidor autenticado). (String UTF8)

2.6.2.distributionPoint Punto de distribucin de la Web donde resida la CRL (punto de


CRL, nmero 2 distribucin 2 https o LDAP con
servidor autenticado). (String UTF8)

2.7. Authority Info Access S

2.7.1.Access Method Id-ad-ocsp S ID de On-line Certificate Status


Protocol

2.7.2.Access Location (direccin web) S URL de On-line Certificate Status


Protocol. Especifica el emplazamiento
de la informacin (String UTF8)

A continuacin se describen los campos diferenciados para los niveles alto y medio debido a
su contenido o sus OIDs de Identidad administrativa:

9.2 Nivel Alto

9.2.1 Certificado

Campo Contenido R Observaciones

1. X.509v1 Field -

1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 2048 bits certificado raz), y longitud de 2048
por tratarse de un certificado de nivel
alto. OID 1.3.14.3.2.26

9.2.2 Extensiones del certificado

Campo Contenido R Observaciones

2.1. Qualified Certificate S


Statements

2.1.1.QcCompliance Indicacin de S OID 0.4.0.1862.1.1


certificado reconocido

Pgina 39 de 73
Campo Contenido R Observaciones
Integer:=15 ([ETSI TS 101 862 v1.3.3]
2.1.2.QcEuRetentionPeriod 15 aos S
describe el periodo de conservacin
de toda la informacin relevante para el
uso de un certificado, tras la
caducidad de este)
OID 0.4.0.1862.1.3

2.1.3.QcSSCD Uso de dispositivo OID 0.4.0.1862.1.4


seguro de firma

2.2. Certificate Policies Polticas de S


certificacin/DPC

2.2.1.Policy Identifier OID asociado a la S OID Private enterprise: ej:


DPC o PC 1.3.6.1.4.1.<num prest>.1.3.3.1, u OID
Country assignment (2.16...)

2.2.2.Policy Qualifier ID Especificacin de la S


DPC

2.2.2.1. CPS Pointer URL de la DPC o, en S URL de las condiciones de uso ej:
su caso, documento www.minhap.es/certica/emision/dpc. Se
legal de tercero. recomienda que siempre se referencie
a travs de un link. (IA5String).

2.2.2.2. User Notice Ej: "Certificado S Campo explicitText. Se recomienda que


reconocido de sello siempre se referencie a travs de un
electrnico de link. Se recomienda longitud no superior
Administracin, rgano a 200 caracteres.
o entidad de derecho
pblico, nivel alto.
Consulte las
condiciones de uso en
" + URL de la DPC o,
en su caso,
documento legal de
tercero

2.3. Subject Alternate Names S Lugar donde se contemplarn los


valores establecidos para la Identidad
Administrativa

2.3.1.rfc822Name Correo electrnico de Correo electrnico de contacto de la


contacto de la entidad entidad suscriptora del sello. Ie:
suscriptora del sello soporte.afirma5@minhap.es (String)
electrnico Size [RFC 5280] 255

2.3.2.Directory Name Identidad S Campos especficos definidos por la


administrativa Administracin para los certificados Ley
11/2007. (Sequence)

2.3.2.1. Tipo de Indica la naturaleza F Tipo= sello electrnico (String UTF8)


certificado del certificado Size = 31
2.16.724.1.3.5.2.1.1

Pgina 40 de 73
Campo Contenido R Observaciones

2.3.2.2. Nombre de la La entidad propietaria F Entidad Suscriptora = ej: MINISTERIO


entidad de dicho certificado DE HACIENDA Y
suscriptora ADMINISTRACIONES PBLICAS
(String UTF8) Size = 80
OID: 2.16.724.1.3.5.2.1.2

2.3.2.3. NIF entidad Nmero nico de F NIF suscriptora = NIF entidad


suscriptora identificacin de la suscriptora ej: S2833002 (String UTF8)
entidad Size = 9
OID: 2.16.724.1.3.5.2.1.3

2.3.2.4. DNI/NIE del DNI o NIE del O DNI/NIE responsable= ej: 00000000G
responsable responsable del Sello (String UTF8) Size = 9
OID: 2.16.724.1.3.5.2.1.4

2.3.2.5. Denominacin Breve descripcin de O Nombre descriptivo del sistema de


de sistema o la componente que sellado automtico, asegurando que
componente posee el certificado de dicho nombre tenga sentido y no de
sello lugar a ambigedades.
Denominacin sistema = ej:
PLATAFORMA DE VALIDACION Y
FIRMA ELECTRONICA. @FIRMA.
(String UTF8) Size = 128
OID: 2.16.724.1.3.5.2.1.5

2.3.2.6. Nombre de pila Nombre de pila del O N = Nombre de pila del responsable del
responsable del certificado de acuerdo con el DNI o en
certificado caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.2.1.6
Ej: JUAN ANTONIO

2.3.2.7. Primer apellido Primer apellido del O SN1 = Primer apellido del responsable
responsable del del certificado de acuerdo con el DNI o
certificado en caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.2.1.7
ej: DE LA CAMARA

2.3.2.8. Segundo Segundo apellido del O SN2 = Segundo apellido del


apellido responsable del responsable del certificado de acuerdo
certificado con el DNI o en caso de extranjero en el
pasaporte. (String UTF8) Size 40
En caso de no existir el segundo
apellido, se dejar en blanco (sin
ningn carcter).
OID: 2.16.724.1.3.5.2.1.8
ej: ESPAOL

2.3.2.9. Correo Correo electrnico de O Correo electrnico de la persona


electrnico la persona responsable del sello ej:
responsable del sello juanantonio.delacamara.espanol@mpr.
es (String) Size [RFC 5280] 255
OID: 2.16.724.1.3.5.2.1.9

Pgina 41 de 73
9.3 Nivel Medio

9.3.1 Certificado

Campo Contenido R Observaciones

2. X.509v1 Field -

2.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de al menos 1024 certificado de nivel alto), y longitud de
bits al menos 1024 bits.. OID 1.3.14.3.2.26

9.3.2 Extensiones del certificado

Campo Contenido R Observaciones


2.1. Qualified Certificate S
Statements
2.1.1. QcCompliance Indicacin de certificado S OID 0.4.0.1862.1.1
reconocido
2.1.2. QcEuRetention 15 aos S Integer:=15 ([ETSI TS 101 862 v1.3.3]
Period
Describe el periodo de conservacin
de toda la informacin relevante para
el uso de un certificado, tras la
caducidad de ste)
OID 0.4.0.1862.1.3
2.2. Certificate Policies Polticas de S
certificacin/DPC
2.2.1. Policy Identifier OID asociado a la DPC o S OID Private enterprise: ej:
PC 1.3.6.1.4.1.<num prest>.1.4.3.1 u OID
Country assignment (2.16...)
2.2.2. Policy Qualifier Especificacin de la DPC S
ID
2.2.2.1. CPS Pointer URL de la DPC o, en su S URL de las condiciones de uso ej:
caso, documento legal de www.minhap.es/certica/emision/dpc.
tercero. Se recomienda que siempre se
referencie a travs de un link.
(IA5String).
2.2.2.2. User Notice Ej: "Certificado reconocido S Campo explicitText. Se recomienda
de sello electrnico de que siempre se referencie a travs de
Administracin, rgano o un link. Se recomienda longitud no
entidad de derecho superior a 200 caracteres.
pblico, nivel Medio.
Consulte las condiciones
de uso en " + URL de la
DPC o, en su caso,
documento legal de
tercero

Pgina 42 de 73
Campo Contenido R Observaciones
2.3. Subject Alternate S Lugar donde se contemplarn los
Names valores establecidos para la Identidad
Administrativa
2.3.1. rfc822Name Correo electrnico de Correo electrnico de contacto de la
contacto de la entidad entidad suscriptora del sello, ej:
suscriptora del sello soporte.afirma5@minhap.es (String)
electrnico Size [RFC 5280] 255
2.3.2. Directory Name Identidad administrativa S Campos especficos definidos por la
Administracin para los certificados
Ley 11/2007. (Sequence)
2.3.2.1. Tipo de Indica la naturaleza del F Tipo= sello electrnico (String UTF8)
certificado certificado Size = 31
OID: 2.16.724.1.3.5.2.2.1
2.3.2.2. Nombre de La entidad propietaria de F Entidad Suscriptora = ej: MINISTERIO
la entidad dicho certificado DE HACIENDA Y
suscriptora ADMINISTRACIONES PBLICAS
(String UTF8) Size = 80
OID: 2.16.724.1.3.5.2.2.2
2.3.2.3. NIF entidad Nmero nico de F NIF suscriptora = NIF entidad
suscriptora identificacin de la entidad suscriptora ej: S2833002 (String
UTF8) Size = 9
OID: 2.16.724.1.3.5.2.2.3
2.3.2.4. DNI/NIE del DNI o NIE del responsable O DNI/NIE responsable= ej: 00000000G
responsable del Sello (String UTF8) Size = 9
(opcional)
OID: 2.16.724.1.3.5.2.2.4
2.3.2.5. Denomi- Breve descripcin de la O Nombre descriptivo del sistema de
nacin de componente que posee el sellado automtico, asegurando que
sistema o certificado de sello dicho nombre tenga sentido y no de
componente lugar a ambigedades.
Denominacin sistema = ej:
PLATAFORMA DE VALIDACION Y
FIRMA ELECTRONICA. @FIRMA.
(String UTF8) Size = 128
OID: 2.16.724.1.3.5.2.2.5
2.3.2.6. Nombre de Nombre de pila del O N = Nombre de pila del responsable
pila responsable del certificado del certificado de acuerdo con el DNI
o en caso de extranjero en el
pasaporte. (String UTF8) Size 40
OID: 2.16.724.1.3.5.2.2.6
Ej: JUAN ANTONIO
2.3.2.7. Primer Primer apellido del O SN1 = Primer apellido del responsable
apellido responsable del certificado del certificado de acuerdo con el DNI
o en caso de extranjero en el
pasaporte. (String UTF8) Size 40
OID: 2.16.724.1.3.5.2.2.7
ej: DE LA CAMARA

Pgina 43 de 73
Campo Contenido R Observaciones
2.3.2.8. Segundo Segundo apellido del O SN2 = Segundo apellido del
apellido responsable del certificado responsable del certificado de
acuerdo con el DNI o en caso de
extranjero en el pasaporte. (String
UTF8) Size 40
En caso de no existir el segundo
apellido, se dejar en blanco (sin
ningn carcter).
OID: 2.16.724.1.3.5.2.2.8
ej: ESPAOL
2.3.2.9. Correo Correo electrnico de la O Correo electrnico de la persona
electrnico persona responsable del responsable del sello ej:
sello juanantonio.delacamara.espanol@minhap.es
(String) Size [RFC 5280] 255
OID: 2.16.724.1.3.5.2.2.9

10 Certificado de empleado pblico

10.1 Criterios de composicin del campo CN para un certificado de empleado pblico

Incluir obligatoriamente el NOMBRE, de acuerdo con lo indicado en el DNI/NIE.


Incluir obligatoriamente el PRIMER Y SEGUNDO APELLIDO, separados nicamente
por un espacio en blanco, de acuerdo con lo indicado en el DNI/NIE. En caso de no
existir el segundo apellido, se dejar en blanco (sin ningn carcter).
Incluir obligatoriamente el nmero de DNI/NIE, junto con la letra de control, de
acuerdo con lo indicado en el DNI/NIE.
Incluir obligatoriamente un SMBOLO o CARCTER que separe el nombre y apellidos
del nmero de DNI.
Se podr incluir opcionalmente el literal DNI antes del nmero de DNI/NIE.
Se podr incluir opcionalmente un literal (AUTENTICACION, FIRMA o CIFRADO) que
identifique la tipologa del certificado. Este identificador siempre estar al final del CN y
entre parntesis. En el caso de un nivel de aseguramiento medio, si se agrupan varios
perfiles en un nico certificado, no se deber incluir esta opcin.

Ejemplos:

JUAN ANTONIO DE LA CAMARA ESPAOL - DNI 00000000G (AUTENTICACION)


JUAN ANTONIO DE LA CAMARA ESPAOL - DNI 00000000G (FIRMA)
JUAN ANTONIO DE LA CAMARA ESPAOL - DNI 00000000G (CIFRADO)
JUAN ANTONIO DE LA CAMARA ESPAOL - DNI 00000000G
DE LA CAMARA ESPAOL JUAN ANTONIO |00000000G (AUTENTICACION)
DE LA CAMARA ESPAOL JUAN ANTONIO |00000000G (FIRMA)
DE LA CAMARA ESPAOL JUAN ANTONIO |00000000G (CIFRADO)
DE LA CAMARA ESPAOL JUAN ANTONIO |00000000G

Pgina 44 de 73
10.2 Campos comunes a los dos niveles

Campo Contenido R Observaciones

1. X.509v1 Field -

1.1. Version 2 (= v3) S Integer:=2 ([RFC5280] describe la


versin del certificado al usar
extensiones es decir v3 su valor debe
ser 2)

1.2. Serial Number Nmero identificativo nico S Integer. SerialNumber = ej: 111222.
del certificado. Establecido automticamente por la
Entidad de Certificacin. [RFC5280]
integer positivo, no mayor 20 octetos
(1- 2159)
Se utilizar para identificar de manera
unvoca el certificado

1.3. Issuer Distinguished S Todos los campos destinados a


Name identificar/describir el prestador de
servicios sern codificados en formato
UTF8

1.3.1.Country (C) ES S C = p. ej: ES (PrintableString) Se


codificar de acuerdo a ISO 3166-1-
alpha-2 code elements Size [RFC
5280] 3

1.3.2.Organization (O) Denominacin (nombre S O = p. ej: MINISTERIO DE FOMENTO


oficial de la organizacin) (String UTF8) Size [RFC 5280] 128
del prestador de servicios
de certificacin (emisor del
certificado).

1.3.3.Locality (L) Localidad/direccin del L = p. ej: MADRID (String UTF8)


prestador de servicios de Size [RFC 5280] 128
certificacin
Si bien el campo est estipulado para
introducir la localidad, se contempla la
posibilidad de incluir la direccin
completa

1.3.4.Organizational Unit Unidad organizativa dentro S OU = p. ej: AUTORIDAD DE


(OU) del prestador de servicios, CERTIFICACION CERTICA (String
responsable de la emisin UTF8) Size [RFC 5280] 128
del certificado. Se contempla el nombre de la entidad
que ha emitido el certificado
1.3.5.Serial Number Nmero nico de NIF = NIF entidad suscriptora ej:
identificacin de la entidad, S2833002 (Printable String) Size = 9
aplicable de acuerdo con
el pas. En Espaa, NIF.
1.3.6.Common Name Nombre comn de la S CN = p. ej: CERTICA Root CA (String
(CN) organizacin prestadora de UTF8) Size 80
servicios de certificacin Size [RFC 5280] 80
(emisor del certificado)

Pgina 45 de 73
Campo Contenido R Observaciones
1.4. Validity 3 aos (recomendado) S Los datos de validez creados antes del
2050 se codificarn utilizando
UTCTime. A partir del 2050 se utilizar
la codificacin GeneralizedTime en la
cual se utilizan dos dgitos ms para
especificar el ao (4 en lugar de 2)

1.4.1.Not Before Fecha de inicio de validez S Fecha de inicio de validez, formato:


UTCTime YYMMDDHHMMSSZ
1.4.2.Not After Fecha de fin de validez S Fecha fin de validez, formato:
UTCTime YYMMDDHHMMSSZ
1.5. Subject Todos los campos S Segn la RFC5280 esta parte se ha de
destinados a rellenar con carcter obligatorio
identificar/describir al Segn la ETSI-QC se debe reflejar
custodio/responsable del obligatoriamente el campo Country
certificado sern
Ver RFC3739 / ETSI 101862
codificados utilizando UTF-
8
1.5.1.Country (C) Estado cuya ley rige el S C = p. ej: ES (PrintableString) Se
nombre, que ser codificar de acuerdo a ISO 3166-1-
"Espaa" por tratarse de alpha-2 code elements Size [RFC
entidades pblicas. 5280] 3
1.5.2.Organization (O) Denominacin (nombre S O = p. ej: MINISTERIO DE FOMENTO
oficial) de la (String UTF8) Size [RFC 5280] 128
Administracin, organismo
o entidad de derecho
pblico suscriptora del
certificado, a la que se
encuentra vinculada el
empleado.

1.5.3.Organizational Unit Descripcin del tipo de S OU = certificado electrnico de


(OU) certificado empleado pblico (String UTF8) Size
[RFC 5280] 128
1.5.4.Organizational Unit Unidad, dentro de la Unidad = ej: SUBDIRECCION
(OU) Administracin, en la que GENERAL DE PROCESO DE DATOS
est incluida el suscriptor (String) Size [RFC 5280] 128
del certificado

1.5.5.Organizational Unit Nmero de identificacin Nmero identificativo = ej:


(OU) del suscriptor del A02APE1056 (String UTF8) Size = 10
certificado (supuestamente
unvoco).
Se corresponde con el
NRP o NIP
1.5.6.Title Debe incluir el puesto o Title = p. ej: ANALISTA
cargo de la persona fsica, PROGRAMADOR. Nombre descriptivo
que le vincula con la del puesto o cargo que ostenta el
Administracin, organismo responsable del certificado (String
o entidad de derecho UTF8) Size [RFC 5280] 128
pblico suscriptora del
certificado.

Pgina 46 de 73
Campo Contenido R Observaciones

1.5.7.Serial Number Nmero secuencial nico S SerialNumber = p. ej: 00000000G.


asignado por el prestador Nmero secuencial nico asignado por
(no deber haber el prestador (Printable String) ) Size
repetidos), se recomienda [RFC 5280] 64
usar el DNI/NIE del
empleado pblico.

1.5.8.Surname Primer y segundo apellido, Primer apellido, espacio en blanco,


de acuerdo con documento segundo apellido del responsable del
de identidad certificado de acuerdo con el DNI o en
(DNI/Pasaporte), as como caso de extranjero en el pasaporte.
su DNI (Ver Criterios de (String UTF8) Size 80
Composicin del campo p. ej: DE LA CAMARA ESPAOL -
CN para un empleado DNI 00000000G
pblico).

1.5.9.Given Name Nombre de pila, de Nombre de pila del responsable del


acuerdo con documento de certificado de acuerdo con el DNI o en
identidad (DNI/Pasaporte) caso de extranjero en el pasaporte.
(String UTF8) Size 40
p. ej: JUAN ANTONIO

1.5.10. Common Name Se deben introducir el S ej: JUAN ANTONIO DE LA CAMARA


(CN) nombre y dos apellidos de ESPAOL - DNI 00000000G
acuerdo con documento de (String UTF8) ) Size [RFC 5280] 132
identidad (DNI/Pasaporte),
as como DNI (Ver
Criterios de Composicin
del campo CN para un
empleado pblico).

1.6. Subject Public Key Info Clave pblica de la S Campo para transportar la clave
persona, codificada de pblica y para identificar el algoritmo
acuerdo con el algoritmo con el cual se utiliza la clave. (String
criptogrfico. UTF8)

10.2.1 Extensiones del certificado

Campo Contenido R Observaciones

2. X.509v3 Extensions -

2.1. Authority Key Identifier Presente, de acuerdo con S Medio para identificar la clave pblica
RFC 5280. correspondiente a la clave privada
utilizada para firmar un certificado, por
ejemplo en los casos en que el emisor
tiene mltiples claves de firma.
2.1.1.Key Identifier Presente, de acuerdo con Identificador de la clave pblica del
RFC 5280. emisor (String UTF8)

2.1.2.AuthorityCertIssuer Path de identificacin de Nombre de la CA a la que corresponde


certificacin la clave identificada en keyIdentifier
(String UTF8) Size 128

Pgina 47 de 73
Campo Contenido R Observaciones

2.1.3.AuthorityCertSerial Nmero de serie del (Integer)


Number certificado de CA

2.2. Subject Key Identifier Presente, de acuerdo con S Identificador de la clave pblica del
RFC 5280. suscriptor o poseedor de claves
(derivada de utilizar la funcin de Hash
sobre la clave pblica del sujeto).
Medio para identificar certificados que
contienen una clave pblica particular
y facilita la construccin de rutas de
certificacin.

2.3. cRLDistributionPoint S Indica cmo se obtiene la informacin


de CRL.

2.3.1.distributionPoint Punto de distribucin de la S Web donde resida la CRL (punto de


CRL, nmero 1 distribucin 1 -https o LDAP con
servidor autenticado). (String UTF8)

2.3.2.distributionPoint Punto de distribucin de la Web donde resida la CRL (punto de


CRL, nmero 2 distribucin 2 https o con servidor
autenticado). (String UTF8)

2.4. Authority Info Access S

2.4.1.Access Method Id-ad-ocsp S ID de On-line Certificate Status


Protocol

2.4.2.Access Location (direccin web) S URL de On-line Certificate Status


Protocol. Especifica el emplazamiento
de la informacin (String UTF8)

2.5. Issuer Alternative Name Nombre alternativo de la


persona de contacto de la
Entidad de Certificacin
emisora

2.5.1.rfc822Name Correo electrnico de Correo electrnico de contacto de la


contacto de la Entidad de entidad de certificacin emisora ej:
Certificacin emisora soporte.certica@mfom.es (String) Size
[RFC 5280] 255

Pgina 48 de 73
10.3 Nivel Alto, funciones segregadas en tres perfiles de certificado

10.3.1 Certificado de firma electrnica

10.3.1.1 Certificado
Campo Contenido R Observaciones

1. X.509v1 Field -

1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 2048 bits certificado raz), y longitud de 2048 por
tratarse de un certificado de nivel alto.
OID 1.3.14.3.2.26

10.3.1.2 Extensiones del certificado

Campo Contenido R Observaciones

2.1. Key Usage S Campo crtico para determinar el uso


(dependiente del certificado)

2.1.1.Digital Signature No seleccionado 0 Se utiliza cuando se realiza la funcin


de autenticacin

2.1.2.Content Seleccionado 1 S Se utiliza cuando se realiza la funcin


Commitment de firma electrnica
Se utiliza para gestin y transporte de
2.1.3.Key Encipherment No seleccionado 0
claves

Se utiliza para cifrar datos que no sean


2.1.4.Data Encipherment No seleccionado 0
claves criptogrficas

Se usa en el proceso de acuerdo de


2.1.5.Key Agreement No seleccionado 0
claves

Se usa para firmar certificados. Se


2.1.6.Key Certificate No seleccionado 0
utiliza en los certificados de
Signature
autoridades de certificacin

Se usa para firmar listas de revocacin


2.1.7.CRL Signature No seleccionado 0
de certificados

2.2. Qualified Certificate S


Statements

Pgina 49 de 73
Campo Contenido R Observaciones

2.2.1.QcCompliance Indicacin de certificado S OID 0.4.0.1862.1.1


reconocido
Integer:=15 ([ETSI TS 101 862 v1.3.3]
2.2.2.QcEuRetention 15 aos S
describe el periodo de conservacin
Period
de toda la informacin relevante para
el uso de un certificado, tras la
caducidad de este)
OID 0.4.0.1862.1.3

2.2.3.QcSSCD Uso de dispositivo seguro S OID 0.4.0.1862.1.4


de firma

2.3. Certificate Policies Polticas de S


certificacin/DPC

2.3.1.Policy Identifier OID asociado a la DPC o S OID Private enterprise: ej:


PC 1.3.6.1.4.1.<num prest>.1.3.4.1 u OID
Country assignment (2.16...)

2.3.2.Policy Qualifier ID Especificacin de la DPC S

2.3.2.1. CPS URL de la DPC o, en su S URL de las condiciones de uso ej:


Pointer caso, documento legal de www.mfom.es/certica/emision/dpc. Se
tercero. recomienda que siempre se referencie
a travs de un link. (IA5String).

2.3.2.2. User Ej: "Certificado reconocido S Campo explicitText. Se recomienda


Notice de personal, nivel alto, que siempre se referencie a travs de
firma electrnica. Consulte un link. Se recomienda longitud no
las condiciones de uso en " superior a 200 caracteres.
+ URL de la DPC o, en su
caso, documento legal de
tercero

2.4. Subject Alternate S Lugar donde se contemplarn los


Names valores establecidos para la Identidad
Administrativa

2.4.1.rfc822Name Correo electrnico de la Correo electrnico de la persona


persona responsable del responsable del certificado ej:
certificado4 juanantonio.delacamara.espanol@mfom.es
(String) Size [RFC 5280] 255

2.4.2.Directory Name Identidad administrativa S Campos especficos definidos por la


Administracin para los certificados
Ley 11/2007. (Sequence)

2.4.2.1. Tipo de Indica la naturaleza del F Tipo= certificado electrnico de


certificado certificado empleado pblico (String UTF8) Size =
31
OID: 2.16.724.1.3.5.3.1.1

4
Extensin generalmente utilizada por productos S/MIME

Pgina 50 de 73
Campo Contenido R Observaciones

2.4.2.2. Nombre La entidad propietaria de F Entidad Suscriptora = ej: MINISTERIO


de la entidad dicho certificado DE FOMENTO (String UTF8) Size =
suscriptora 80
OID: 2.16.724.1.3.5.3.1.2

2.4.2.3. NIF Nmero nico de F NIF suscriptora = NIF entidad


entidad identificacin de la entidad suscriptora ej: S2833002 (String UTF8)
suscriptora Size = 9
OID: 2.16.724.1.3.5.3.1.3

2.4.2.4. DNI/NIE DNI o NIE del responsable F DNI/NIE responsable= ej: 00000000G
del (String UTF8) Size = 10
responsable
OID: 2.16.724.1.3.5.3.1.4

2.4.2.5. Nmero Nmero de identificacin O Nmero identificativo = ej:


de del suscriptor del A02APE1056 (String UTF8) Size = 10
identificacin certificado (supuestamente
de personal unvoco). OID: 2.16.724.1.3.5.3.1.5

Se corresponde con el
NRP o NIP

2.4.2.6. Nombre Nombre de pila del F N = Nombre de pila del responsable


de pila responsable del certificado del certificado de acuerdo con el DNI o
en caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.3.1.6
Ej: JUAN ANTONIO

2.4.2.7. Primer Primer apellido del F SN1 = Primer apellido del responsable
apellido responsable del certificado del certificado de acuerdo con el DNI o
en caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.3.1.7
Ej: DE LA CAMARA

2.4.2.8. Segundo Segundo apellido del F SN2 = Segundo apellido del


apellido responsable del certificado responsable del certificado de acuerdo
con el DNI o en caso de extranjero en
el pasaporte. (String UTF8) Size 40
En caso de no existir el segundo
apellido, se dejar en blanco (sin
ningn carcter).
OID: 2.16.724.1.3.5.3.1.8
Ej: ESPAOL

2.4.2.9. Correo Correo electrnico de la O Correo electrnico de la persona


electrnico persona responsable del responsable del certificado ie:
certificado juanantonio.delacamara.espanol@mfom.es
(String) Size [RFC 5280] 255
OID: 2.16.724.1.3.5.3.1.9

Pgina 51 de 73
Campo Contenido R Observaciones

2.4.2.10. Unidad Unidad, dentro de la O Unidad = ej: SUBDIRECCION


organizativa Administracin, en la que GENERAL DE PROCESO DE DATOS
est incluida el suscriptor (String) Size [RFC 5280] 128
del certificado
OID: 2.16.724.1.3.5.3.1.10

2.4.2.11. Puesto o Puesto desempeado por O Puesto = ej: ANALISTA


cargo el suscriptor del certificado PROGRAMADOR (String) Size [RFC
dentro de la 5280] 128
administracin.
OID: 2.16.724.1.3.5.3.1.11

10.3.2 Certificado de autenticacin

10.3.2.1 Certificado
Campo Contenido R Observaciones

1. X.509v1 Field -

1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 2048 bits certificado raz), y longitud de 2048 por
tratarse de un certificado de nivel alto.
OID 1.3.14.3.2.26

10.3.2.2 Extensiones del certificado

Campo Contenido R Observaciones

2.1. Key Usage S Campo crtico para determinar el uso


(dependiente del certificado)

2.1.1.Digital Signature Seleccionado 1 S Se utiliza cuando se realiza la funcin


de autenticacin

2.1.2.Content No seleccionado 0 Se utiliza cuando se realiza la funcin


Commitment de firma electrnica

2.1.3.Key Encipherment No seleccionado 0 Se utiliza para gestin y transporte de


claves

2.1.4.Data Encipherment No seleccionado 0 Se utiliza para cifrar datos que no sean


claves criptogrficas

2.1.5.Key Agreement No seleccionado 0 Se usa en el proceso de acuerdo de


claves

Pgina 52 de 73
Campo Contenido R Observaciones

2.1.6.Key Certificate No seleccionado 0 Se usa para firmar certificados. Se


Signature utiliza en los certificados de
autoridades de certificacin

2.1.7.CRL Signature No seleccionado 0 Se usa para firmar listas de revocacin


de certificados

2.2. Extended Key Usage S Uso extendidos del certificado

2.2.1.Email Protection Seleccionado S Proteccin de mail

2.2.2.Client Seleccionado S Autenticacin cliente


Authentication

2.3. Qualified Certificate S


Statements

2.3.1.QcCompliance Indicacin de certificado S OID 0.4.0.1862.1.1


reconocido

2.3.2.QcEuRetention 15 aos S Integer:=15 ([ETSI TS 101 862 v1.3.3]


Period
describe el periodo de conservacin
de toda la informacin relevante para el
uso de un certificado, tras la
caducidad de este)
OID 0.4.0.1862.1.3

2.3.3.QcSSCD Uso de dispositivo seguro OID 0.4.0.1862.1.4


de firma

2.4. Certificate Policies Polticas de S


certificacin/DPC

2.4.1.Policy Identifier OID asociado a la DPC o S OID Private enterprise: ej:


PC 1.3.6.1.4.1.<num prest>.1.3.4.2 u OID
Country assignment (2.16...)

2.4.2.Policy Qualifier ID Especificacin de la DPC S

2.4.2.1. CPS URL de la DPC o, en su S URL de las condiciones de uso ej:


Pointer caso, documento legal de www.mfom.es/certica/emision/dpc. Se
tercero. recomienda que siempre se referencie
a travs de un link. (IA5String).

2.4.2.2. User Ej: "Certificado reconocido S Campo explicitText. Se recomienda


Notice de personal, nivel alto, que siempre se referencie a travs de
autenticacin. Consulte las un link. Se recomienda longitud no
condiciones de uso en " + superior a 200 caracteres.
URL de la DPC o, en su
caso, documento legal de
tercero

Pgina 53 de 73
Campo Contenido R Observaciones

2.5. Subject Alternate Names S Lugar donde se contemplarn los


valores establecidos para la Identidad
Administrativa

2.5.1.rfc822Name Correo electrnico de la Correo electrnico de la persona


persona responsable del responsable del certificado ej:
certificado5 juanantonio.delacamara.espanol@mfom.es
(String) Size [RFC 5280] 255

2.5.2.Directory Name Identidad administrativa S Campos especficos definidos por la


Administracin para los certificados Ley
11/2007. (Sequence)

2.5.2.1. Tipo de Indica la naturaleza del F Tipo= certificado electrnico de


certificado certificado empleado pblico (String UTF8) Size =
31
OID2.16.724.1.3.5.3.1.1

2.5.2.2. Nombre La entidad propietaria de F Entidad Suscriptora = ej: MINISTERIO


de la entidad dicho certificado DE FOMENTO (String UTF8) Size = 80
suscriptora
OID: 2.16.724.1.3.5.3.1.2

2.5.2.3. NIF Nmero nico de F NIF suscriptora = NIF entidad


entidad identificacin de la entidad suscriptora ej: S2833002 (String UTF8)
suscriptora Size = 9
OID: 2.16.724.1.3.5.3.1.3

2.5.2.4. DNI/NIE DNI o NIE del responsable F DNI/NIE responsable= ej: 00000000G
del del Sello (String UTF8) Size = 10
responsable
OID: 2.16.724.1.3.5.3.1.4

2.5.2.5. Nmero Nmero de identificacin O Nmero identificativo = ej:


de del suscriptor del A02APE1056 (String UTF8) Size = 10
identificacin certificado (supuestamente
de personal unvoco) OID: 2.16.724.1.3.5.3.1.5

2.5.2.6. Nombre Nombre de pila del F N = Nombre de pila del responsable del
de pila responsable del certificado certificado de acuerdo con el DNI o en
caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.3.1.6
Ej: JUAN ANTONIO

2.5.2.7. Primer Primer apellido del F SN1 = Primer apellido del responsable
apellido responsable del certificado del certificado de acuerdo con el DNI o
en caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.3.1.7
Ej: DE LA CAMARA

5
Extensin generalmente utilizada por productos S/MIME

Pgina 54 de 73
Campo Contenido R Observaciones

2.5.2.8. Segundo Segundo apellido del F SN2 = Segundo apellido del


apellido responsable del certificado responsable del certificado de acuerdo
con el DNI o en caso de extranjero en
el pasaporte. (String UTF8) Size 40
En caso de no existir el segundo
apellido, se dejar en blanco (sin
ningn carcter).
OID: 2.16.724.1.3.5.3.1.8
Ej: ESPAOL

2.5.2.9. Correo Correo electrnico de la O Correo electrnico de la persona


electrnico persona responsable del responsable del certificado ie:
certificado juanantonio.delacamara.espanol@mfom.es
(String) Size [RFC 5280] 255
OID: 2.16.724.1.3.5.3.1.9

2.5.2.10. Unidad Unidad, dentro de la O Unidad = ej: SUBDIRECCION


organizativa Administracin, en la que GENERAL DE PROCESO DE DATOS
est incluida el suscriptor (String) Size [RFC 5280] 128
del certificado
OID: 2.16.724.1.3.5.3.1.10

2.5.2.11. Puesto o Puesto desempeado por O Puesto = ej: ANALISTA


cargo el suscriptor del certificado PROGRAMADOR (String) Size [RFC
dentro de la administracin. 5280] 128
OID: 2.16.724.1.3.5.3.1.11

2.5.3.User Principal UPN para smart card logon O Campo destinado a incluir el smart card
Name (UPN) logon del sistema en que trabaje el
responsable del certificado.

10.3.3 Certificado de cifrado

10.3.3.1 Certificado
Campo Contenido R Observaciones

1. X.509v1 Field -

1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 2048 bits certificado raz), y longitud de 2048 por
tratarse de un certificado de nivel alto.
OID 1.3.14.3.2.26

Pgina 55 de 73
10.3.3.2 Extensiones del certificado

Campo Contenido R Observaciones

2.1. Key Usage S Campo crtico para determinar el uso


(dependiente del certificado)

2.1.1.Digital Signature No seleccionado 0 No usado

2.1.2.Content No seleccionado 0 No usado


Commitment

2.1.3.Key Encipherment Seleccionado 1 S Por tratarse de un certificado de


cifrado

2.1.4.Data Encipherment Seleccionado 1 S Por tratarse de un certificado de


cifrado

2.1.5.Key Agreement No seleccionado 0 No usado

2.1.6.Key Certificate No seleccionado 0 No usado


Signature

2.1.7.CRL Signature No seleccionado 0 No usado

2.2. Extended Key Usage S Uso extendidos del certificado

2.2.1.Email Protection Seleccionado S Proteccin de mail

2.2.2.Client Seleccionado S Autenticacin cliente


Authentication

2.3. Qualified Certificate S


Statements

2.3.1.QcCompliance Indicacin de certificado S OID 0.4.0.1862.1.1


reconocido
Integer:=15 ([ETSI TS 101 862 v1.3.3]
2.3.2.QcEuRetention 15 aos S
describe el periodo de conservacin
Period
de toda la informacin relevante para
el uso de un certificado, tras la
caducidad de este)
OID 0.4.0.1862.1.3

2.3.3.QcSSCD Uso de dispositivo seguro OID 0.4.0.1862.1.4


de firma

2.4. Certificate Policies Polticas de S


certificacin/DPC

2.4.1.Policy Identifier OID asociado a la DPC o S OID Private enterprise: ej:


PC 1.3.6.1.4.1.<num prest>.1.3.4.3, u
OID Country assignment (2.16...)

2.4.2.Policy Qualifier ID Especificacin de la DPC S

Pgina 56 de 73
Campo Contenido R Observaciones

2.4.2.1. CPS URL de la DPC o, en su S URL de las condiciones de uso ej:


Pointer caso, documento legal de www.mfom.es/certica/emision/dpc. Se
tercero. recomienda que siempre se referencie
a travs de un link. (IA5String).

2.4.2.2. User Ej: "Certificado reconocido S Campo explicitText. Se recomienda


Notice de personal, nivel alto, que siempre se referencie a travs de
cifrado. Consulte las un link. Se recomienda longitud no
condiciones de uso en " + superior a 200 caracteres.
URL de la DPC o, en su
caso, documento legal de
tercero

2.5. Subject Alternate S Lugar donde se contemplarn los


Names valores establecidos para la Identidad
Administrativa

2.5.1.rfc822Name Correo electrnico de la Correo electrnico de la persona


persona responsable del responsable del certificado ej:
certificado6 juanantonio.delacamara.espanol@mfom.es
(String) Size [RFC 5280] 255

2.5.2.Directory Name Identidad administrativa S Campos especficos definidos por la


Administracin para los certificados
Ley 11/2007. (Sequence)

2.5.2.1. Tipo de Indica la naturaleza del F Tipo= certificado electrnico de


certificado certificado empleado pblico (String UTF8) Size
= 31
OID2.16.724.1.3.5.3.1.1

2.5.2.2. Nombre La entidad propietaria de F Entidad Suscriptora = ej: MINISTERIO


de la entidad dicho certificado DE FOMENTO (String UTF8) Size =
suscriptora 80
OID: 2.16.724.1.3.5.3.1.2

2.5.2.3. NIF Nmero nico de F NIF suscriptora = NIF entidad


entidad identificacin de la entidad suscriptora ej: S2833002 (String
suscriptora UTF8) Size = 9
OID: 2.16.724.1.3.5.3.1.3

2.5.2.4. DNI/NIE DNI o NIE del responsable F DNI/NIE responsable= ej: 00000000G
del del Sello (String UTF8) Size = 10
responsable
OID: 2.16.724.1.3.5.3.1.4

2.5.2.5. Nmero Nmero de identificacin O Nmero identificativo = ej:


de del suscriptor del A02APE1056 (String UTF8) Size = 10
identificacin certificado (supuestamente
de personal unvoco) OID: 2.16.724.1.3.5.3.1.5

6
Extensin generalmente utilizada por productos S/MIME

Pgina 57 de 73
Campo Contenido R Observaciones

2.5.2.6. Nombre Nombre de pila del F N = Nombre de pila del responsable


de pila responsable del certificado del certificado de acuerdo con el DNI
o en caso de extranjero en el
pasaporte. (String UTF8) Size 40
OID: 2.16.724.1.3.5.3.1.6
Ej: JUAN ANTONIO

2.5.2.7. Primer Primer apellido del F SN1 = Primer apellido del responsable
apellido responsable del certificado del certificado de acuerdo con el DNI
o en caso de extranjero en el
pasaporte. (String UTF8) Size 40
OID: 2.16.724.1.3.5.3.1.7
Ej: DE LA CAMARA

2.5.2.8. Segundo Segundo apellido del F SN2 = Segundo apellido del


apellido responsable del certificado responsable del certificado de
acuerdo con el DNI o en caso de
extranjero en el pasaporte. (String
UTF8) Size 40
En caso de no existir el segundo
apellido, se dejar en blanco (sin
ningn carcter).
OID: 2.16.724.1.3.5.3.1.8
Ej: ESPAOL

2.5.2.9. Correo Correo electrnico de la O Correo electrnico de la persona


electrnico persona responsable del responsable del certificado ie:
certificado juanantonio.delacamara.espanol@mfom.es
(String) Size [RFC 5280] 255
OID: 2.16.724.1.3.5.3.1.9

2.5.2.10. Unidad Unidad, dentro de la O Unidad = ej: SUBDIRECCION


organizativa Administracin, en la que GENERAL DE PROCESO DE
est incluida el suscriptor DATOS (String) Size [RFC 5280] 128
del certificado
OID: 2.16.724.1.3.5.3.1.10

2.5.2.11. Puesto o Puesto desempeado por O Puesto = ej: ANALISTA


cargo el suscriptor del certificado PROGRAMADOR (String) Size [RFC
dentro de la administracin. 5280] 128
OID: 2.16.724.1.3.5.3.1.11

Pgina 58 de 73
10.4 Nivel Medio

En el nivel de aseguramiento la configuracin es libre en el sentido del nmero de certificados


a incluir (1, 2 3), derivado de este factor los usos que tengan cada uno de ellos reflejado en
el Key Usage son diferentes, a continuacin se presenta la opcin de un nico certificado:

10.4.1 Certificado
Campo Contenido R Observaciones

1. X.509v1 Field -

1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 1024 bits certificado raz), y longitud de 1024 por
tratarse de un certificado de nivel
medio. OID 1.3.14.3.2.26

10.4.2 Extensiones del certificado

Campo Contenido R Observaciones


2.1. Key Usage S Campo crtico para determinar el uso
(dependiente del certificado)
2.1.1.Digital Signature Seleccionado 1 S Para tener uso de autenticacin
2.1.2.Content Seleccionado 1 S Necesario uso de firma
Commitment
2.1.3.Key Encipherment Seleccionado 1 S Por tratarse de un certificado de cifrado
2.1.4.Data Encipherment Seleccionado 1 S Por tratarse de un certificado de cifrado
2.1.5.Key Agreement No seleccionado 0 No usado
2.1.6.Key Certificate No seleccionado 0 No usado
Signature
2.1.7.CRL Signature No seleccionado 0 No usado
2.2. Extended Key Usage S Uso extendidos del certificado
2.2.1.Email Protection Seleccionado S Proteccin de mail
2.2.2.Client Seleccionado S Autenticacin cliente
Authentication
2.3. Qualified Certificate S
Statements
2.3.1.QcCompliance Indicacin de certificado S OID 0.4.0.1862.1.1
reconocido
2.3.2.QcEuRetention 15 aos S Integer:=15 ([ETSI TS 101 862 v1.3.3]
Period describe el periodo de conservacin de
toda la informacin relevante para el
uso de un certificado, tras la caducidad
de este)
OID 0.4.0.1862.1.3

Pgina 59 de 73
Campo Contenido R Observaciones
2.4. Certificate Policies S
2.4.1.Policy Identifier OID asociado a la DPC o S OID Private enterprise: ej:
PC 1.3.6.1.4.1.<num prest>.1.3.4.4 u OID
Country assignment (2.16...)

2.4.2.Policy Qualifier ID Especificacin de la DPC S


2.4.2.1. CPS URL de la DPC o, en su S URL de las condiciones de uso ej:
Pointer caso, documento legal de www.mfom.es/certica/emision/dpc. Se
tercero. recomienda que siempre se referencie
a travs de un link. (IA5String).
2.4.2.2. User Ej: "Certificado reconocido S URL de las condiciones de uso. Se
Notice de personal, nivel medio. recomienda que siempre se referencie
Consulte las condiciones a travs de un link. (String UTF8) ). Se
de uso en " + URL de la recomienda longitud no superior a 200
DPC o, en su caso, caracteres.
documento legal de tercero

2.5. Subject Alternate Names S Lugar donde se contemplarn los


valores establecidos para la Identidad
Administrativa
2.5.1.rfc822Name Correo electrnico de la Correo electrnico de la persona
persona responsable del responsable del certificado ej:
certificado7 juanantonio.delacamara.espanol@mfom.es
(String) Size [RFC 5280] 255
2.5.2.Directory Name Identidad administrativa S Campos especficos definidos por la
Administracin para los certificados Ley
11/2007. (Sequence)
2.5.2.1. Tipo de Indica la naturaleza del F Tipo= certificado electronico de
certificado certificado empleado pblico (String UTF8) Size =
31
OID: 2.16.724.1.3.5.3.2.1
2.5.2.2. Nombre La entidad propietaria de F Entidad Suscriptora = ej: MINISTERIO
de la entidad dicho certificado DE FOMENTO (String UTF8) Size = 80
suscriptora OID: 2.16.724.1.3.5.3.2.2
2.5.2.3. NIF Nmero nico de F NIF suscriptora = NIF entidad
entidad identificacin de la entidad suscriptora ej: S2833002 (String UTF8)
suscriptora Size = 9
OID: 2.16.724.1.3.5.3.2.3
2.5.2.4. DNI/NIE DNI o NIE del responsable F DNI/NIE responsable= ej: 00000000G
del del Sello (String UTF8) Size = 10
responsable OID: 2.16.724.1.3.5.3.2.4
2.5.2.5. Nmero Nmero de identificacin O Nmero identificativo = ej:
de del suscriptor del A02APE1056 (String UTF8) Size = 10
identificacin certificado (supuestamente OID: 2.16.724.1.3.5.3.2.5
de personal unvoco)

7
Extensin generalmente utilizada por productos S/MIME

Pgina 60 de 73
Campo Contenido R Observaciones
2.5.2.6. Nombre Nombre de pila del F N = Nombre de pila del responsable del
de pila responsable del certificado certificado de acuerdo con el DNI o en
caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.3.2.6
Ej: JUAN ANTONIO
2.5.2.7. Primer Primer apellido del F SN1 = Primer apellido del responsable
apellido responsable del certificado del certificado de acuerdo con el DNI o
en caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.3.2.7
Ej: DE LA CAMARA
2.5.2.8. Segundo Segundo apellido del F SN2 = Segundo apellido del
apellido responsable del certificado responsable del certificado de acuerdo
con el DNI o en caso de extranjero en
el pasaporte. (String UTF8) Size 40
En caso de no existir el segundo
apellido, se dejar en blanco (sin
ningn carcter).
OID: 2.16.724.1.3.5.3.2.8
Ej: ESPAOL
2.5.2.9. Correo Correo electrnico de la O Correo electrnico de la persona
electrnico persona responsable del responsable del certificado ie:
certificado juanantonio.delacamara.espanol@mpr.
es (String) Size [RFC 5280] 255
OID: 2.16.724.1.3.5.3.2.9
2.5.2.10. Unidad Unidad, dentro de la O Unidad = ej: SUBDIRECCION
organizativa Administracin, en la que GENERAL DE PROCESO DE DATOS
est incluida el suscriptor (String) Size [RFC 5280] 128
del certificado OID: 2.16.724.1.3.5.3.2.10
2.5.2.11. Puesto o Puesto desempeado por O Puesto = ej: ANALISTA
cargo el suscriptor del certificado PROGRAMADOR (String) Size [RFC
dentro de la administracin. 5280] 128
OID: 2.16.724.1.3.5.3.2.11
2.5.3.User Principal UPN para smart card logon O Campo destinado a incluir el smart card
Name (UPN) logon de Windows para el responsable
del certificado.

Pgina 61 de 73
11 CUADROS RESUMEN

Dentro del concepto VALORES se marcan entrecomillados y en negrita aquellos valores que
debern aparecer exactamente tal y como estn aqu expresados en los campos/
extensiones indicados.

CONCEPTO OBLIGATORIO/RECOMENDABLE VALORES


Niveles de Implcito en Objeto Identidad OID: 2.16.724.1.3.5.1.1.1=sede electrnica
aseguramiento Administrativa (Nivel Alto)
OID: 2.16.724.1.3.5.1.2.1=sede electrnica
(Nivel Medio)
OID: 2.16.724.1.3.5.2.1.1=sello electrnico
Objeto Identidad Obligatorio. OID especfico por perfil (Nivel Alto)
Administrativa definido en Ley 11/2007 y por nivel de
OID: 2.16.724.1.3.5.2.2.1=sello electrnico
aseguramiento
(Nivel Medio)
OID: 2.16.724.1.3.5.3.1.1=certificado
electrnico de empleado pblico (Nivel Alto)
OID: 2.16.724.1.3.5.3.2.1=certificado
electrnico de empleado pblico (Nivel Medio)
AC raz y subraz (Alto y Medio): mnimo SHA-1,
Algoritmos Obligatorios
RSA-2048
criptogrficos
Certificados finales (Alto): mnimo SHA-1, RSA-
2048
Certificados finales (Medio): mnimo SHA-1, RSA-
1024
Codificacin UTF8 Obligatoria
Perfil Orientativo. Los valores proporcionados en
Certificado CA Raz Recomendable
este documento pretenden servir como ejemplos
en posibles nuevas implementaciones.
3 aos para los certificados de Sede, Sello,
Validez de los Recomendado
Empleado Pblico
certificados
Incluir obligatoriamente el NOMBRE, de acuerdo
Criterios de Obligatorios
con lo indicado en el DNI/NIE.
composicin del
Incluir obligatoriamente el PRIMER Y
campo CN para un
SEGUNDO APELLIDO, separados nicamente
certificado de
por un espacio en blanco, de acuerdo con lo
empleado pblico
indicado en el DNI/NIE. En caso de no existir el
segundo apellido, se dejar en blanco (sin ningn
carcter).
Incluir obligatoriamente el nmero de DNI/NIE,
junto con la letra de control, de acuerdo con lo
indicado en el DNI/NIE.
Incluir obligatoriamente un SMBOLO o
CARCTER que separe el nombre y apellidos del
nmero de DNI.
Se podr incluir opcionalmente el literal DNI
antes del nmero de DNI/NIE.
Se podr incluir opcionalmente un literal
(AUTENTICACION, FIRMA o CIFRADO) que
identifique la tipologa del certificado. Este
identificador siempre ser al final del CN y entre
parntesis. En el caso de un nivel de
aseguramiento medio, si se agrupan varios
perfiles en un nico certificado, no se deber
incluir esta opcin.

Pgina 62 de 73
CERTIFICADO CAMPOS OBLIGATORIOS VALORES
SEDE Version V3
ELECTRNICA
Serial Number Nmero de serie
Issuer Distinguished Name (Country Nombre de la entidad emisora
(C), Organization (O), Organizational
Unit (OU), Common Name (CN)) Recomendado 3 aos

Validity (Not Before, Not After) C=ES, O=Organizacin, OU=


sede electrnica,
Subject (Country (C), Organization OU=Nombre descriptivo de la
(O), Organizational Unit (OU), Sede, SerialNumber=NIF de la
Organizational Unit (OU), Serial entidad CN=Nombre DNS de la
Number, Common Name (CN)) Sede
Subject Public Key Info Clave pblica de la Sede
Signature Algorithm Algoritmo de Firma

SELLO Version V3
ELECTRNICO
Serial Number Nmero de serie
Issuer Distinguished Name (Country Nombre de la entidad emisora
(C), Organization (O), Organizational
Unit (OU), Common Name (CN)) Recomendado 3 aos

Validity (Not Before, Not After) C=ES, O=Organizacin, OU=


sello electrnico,
Subject (Country (C), Organization SerialNumber=NIF de la entidad,
(O), Organizational Unit (OU), Serial
Number, Common Name (CN)) Clave pblica de la Sede

Subject Public Key Info Algoritmo de Firma

Signature Algorithm

CERTIFICADO Version V3
ELECTRNICO
DE EMPLEADO Serial Number Nmero de serie
PBLICO Issuer Distinguished Name (Country Nombre de la entidad emisora
(C), Organization (O), Organizational
Unit (OU), Common Name (CN)) Recomendado 3 aos

Validity (Not Before, Not After) C=ES, O=Organizacin, OU=


certificado electrnico de
Subject (Country (C), Organization empleado pblico,
(O), Organizational Unit (OU), Serial SerialNumber=DNI/NIE del
Number, Common Name (CN)) empleado, CN=Nombre ,
apellidos y DNI/NIE del
Subject Public Key Info empleado
Signature Algorithm Clave pblica de la Sede
Algoritmo de Firma

Pgina 63 de 73
CERTIFICADO EXTENSIONES VALORES
OBLIGATORIAS

SEDE Authority Key Identifier Identificador de la clave pblica de la CA


ELECTRNICA
Subject Key Identifier Identificados de la clave pblica del
subscriptor
Key Usage
Digital Signature, Key Encipherment
cRLDistributionPoint
(distributionPoint) Informacin de acceso a la CRL
Authority Info Access Informacin de acceso a OCSP
(Access Method, Access
Location) OID asignado por el PSC a la poltica bajo
la que se emite el certificado, URL de la
Extended Key Usage DPC y mensaje explcito.
(Server Authentication)
IDENTIDAD ADMINISTRATIVA SEDE
Certificate Policies (Policy
Identifier, Policy Qualifier
ID [CPS Pointer, User
Notice])
Subject Alternative Names
(Directory Name)

SELLO Authority Key Identifier Identificador de la clave pblica de la CA


ELECTRNICO
Subject Key Identifier Identificados de la clave pblica del
subscriptor
Key Usage
Digital Signature, Content
Extended Key Usage Commitment, Key Encipherment,
cRLDistributionPoint Data Encipherment
(distributionPoint) Email Protection, Client
Authority Info Access Authentication
(Access Method, Access Informacin de acceso a la CRL
Location)
Informacin de acceso a OCSP
Qualified Certificate
Statements Qualified Certificate Statements
Certificate Policies (Policy o NIVEL ALTO: QcCompliance,
Identifier, Policy Qualifier QcEuRetentionPeriod,
ID [CPS Pointer, User
o NIVEL MEDIO: QcCompliance,
Notice])
QcEuRetentionPeriod
Subject Alternative Names
OID asignado por el PSC a la poltica bajo
(Directory Name)
la que se emite el certificado, URL de la
DPC y mensaje explcito.
IDENTIDAD ADMINISTRATIVA SELLO

Pgina 64 de 73
CERTIFICADO Authority Key Identifier Identificador de la clave pblica de la CA
ELECTRNICO
DE EMPLEADO Subject Key Identifier Identificados de la clave pblica del
subscriptor
PBLICO cRLDistributionPoint
(distributionPoint,) Informacin de acceso a la CRL
Authority Info Access Informacin de acceso a OCSP
(Access Method, Access
Location) Key Usage
o FIRMA ALTO: Content
Key Usage
Commitment
Extended Key Usage
o AUTENTICACIN ALTO: Digital
Qualified Certificate Signature
Statements o CIFRADO ALTO: Key
Certificate Policies (Policy Encipherment, Data
Identifier, Policy Qualifier Encipherment
ID [CPS Pointer, User o FIRMA, AUTENTICACIN Y
Notice]) CIFRADO NIVEL MEDIO: Digital
Subject Alternative Names Signature, Content
(Directory Name) Commitment, Key
Encipherment, Data
Encipherment
Extended Key Usage
o AUTENTICACIN ALTO: Email
Protection, Client
Authentication
o CIFRADO ALTO: Email
Protection, Client
Authentication
o FIRMA, AUTENTICACIN Y
CIFRADO NIVEL MEDIO: Email
Protection, Client
Authentication
Qualified Certificate Statements
o NIVEL ALTO: QcCompliance,
QcEuRetentionPeriod,
QcSSCD
o NIVEL MEDIO: QcCompliance,
QcEuRetentionPeriod
OID asignado por el PSC a la poltica bajo
la que se emite el certificado, URL de la
DPC y mensaje explcito.
IDENTIDAD ADMINISTRATIVA
EMPLEADO PUBLICO

Pgina 65 de 73
CERTIFICADO CAMPOS VALORES
RECOMENDABLES
SEDE Issuer Distinguished Name L= Localidad del PSC
ELECTRNICA (Locality, Serial Number) SN= NIF del emisor
SELLO Issuer Distinguished Name L= Localidad del PSC
ELECTRNICO (Locality, Serial Number) SN= NIF del emisor
Subject (Surname, Given Surname=Apellidos y DNI del
Name) responsable, GivenName= Nombre del
responsable
CN=Nombre descriptivo del sistema
CERTIFICADO Issuer Distinguished Name L= Localidad del PSC
ELECTRNICO DE (Locality, Serial Number) SN= NIF del emisor
EMPLEADO Subject (Organizational OU=Unidad del Empleado, OU=NRP o
PBLICO Unit (OU), Organizational NIP, Title= Puesto o cargo del empleado,
Unit (OU), Title, Surname, SN= Apellidos y DNI del responsable,
Given Name) GN= Nombre del responsable

CERTIFICADO EXTENSIONES VALORES


RECOMENDABLES
SEDE Issuer Alternative rfc822Name=Correo electrnico de la CA emisora
ELECTRNICA Name rfc822Name=Correo electrnico de contacto de la
Subject Alternative Sede, dnsName=Nombre de dominio de la Sede
Names
SELLO Issuer Alternative rfc822Name=Correo electrnico de la CA emisora
ELECTRNICO Name rfc822Name=Correo electrnico de contacto del
Subject Alternative Sello
Names
CERTIFICADO Issuer Alternative rfc822Name=Correo electrnico de la CA emisora
ELECTRNICO Name rfc822Name=Correo electrnico de contacto del
DE EMPLEADO Subject Alternative empleado, User Principal Name (UPN)=nombre de
PBLICO Names inicio de sesin en Windows

CERTIFICADO CAMPOS IDENTIDAD VALORES


ADMINISTRATIVA FIJOS
SEDE Tipo de certificado OID: 2.16.724.1.3.5.1.x.1= sede
ELECTRNICA Nombre de la entidad electrnica
suscriptora OID: 2.16.724.1.3.5.1.x.2 = Entidad
NIF entidad suscriptora Suscriptora (Organizacin)
Nombre descriptivo de la OID: 2.16.724.1.3.5.1.x.3 = NIF entidad
sede electrnica suscriptora
Denominacin de OID: 2.16.724.1.3.5.1.x.4 = Nombre
nombre de dominio IP descriptivo de la sede electrnica
OID: 2.16.724.1.3.5.1.x.5 = Nombre DNS
de la sede electrnica
Donde x tiene valor 1 para un Nivel de Aseguramiento
Alto y 2 para Medio
SELLO Tipo de certificado OID: 2.16.724.1.3.5.2.x.1 = sello
ELECTRNICO Nombre de la entidad electrnico
suscriptora OID: 2.16.724.1.3.5.2..x.2 = Entidad
NIF entidad suscriptora Suscriptora (Organizacin)
OID: 2.16.724.1.3.5.2x.3 = NIF entidad
suscriptora
Donde x tiene valor 1 para un Nivel de Aseguramiento
Alto y 2 para Medio

Pgina 66 de 73
CERTIFICADO Tipo de certificado OID: 2.16.724.1.3.5.3.x.1 = certificado
ELECTRNICO Nombre de la entidad electrnico de empleado pblico
DE EMPLEADO suscriptora OID: 2.16.724.1.3.5.3x.2 = Entidad
PBLICO NIF entidad suscriptora Suscriptora (Organizacin)
DNI/NIE del responsable OID: 2.16.724.1.3.5.3.x.3 = NIF entidad
Nombre de pila suscriptora
Primer apellido OID: 2.16.724.1.3.5.3.x.4 = DNI/NIE
Segundo apellido responsable
OID: 2.16.724.1.3.5.3.x.6 = Nombre de pila
del responsable del certificado
OID: 2.16.724.1.3.5.3.x.7 = Primer apellido
del responsable del certificado
OID: 2.16.724.1.3.5.3.x.8 = Segundo
apellido del responsable del certificado
Donde x tiene valor 1 para un Nivel de Aseguramiento
Alto y 2 para Medio

CERTIFICADO CAMPOS IDENTIDAD


ADMINISTRATIVA OPCIONALES
SEDE Ninguno
ELECTRNICA
SELLO DNI/NIE del responsable OID: 2.16.724.1.3.5.2..x.4 =
ELECTRNICO Nombre de pila DNI/NIE responsable
Primer apellido OID: 2.16.724.1.3.5.2.x.5 =
Segundo apellido Nombre descriptivo del sistema de
Correo electrnico sellado automtico
Denominacin de sistema o OID: 2.16.724.1.3.5.2.x.6 =
componente Nombre de pila del responsable
del certificado
OID: 2.16.724.1.3.5.2.x.7 =
Primer apellido del responsable
del certificado
OID: 2.16.724.1.3.5.2.x.8 =
Segundo apellido del responsable
del certificado
OID: 2.16.724.1.3.5.2.x.9 =
Correo electrnico de la persona
responsable del sello
Donde x tiene valor 1 para un Nivel de
Aseguramiento Alto y 2 para Medio
CERTIFICADO Nmero de identificacin de OID: 2.16.724.1.3.5.3x.5 =
ELECTRNICO DE personal NRP o NIP del empleado
EMPLEADO Correo electrnico OID: 2.16.724.1.3.5.3.x.9 =
PBLICO Unidad organizativa Correo electrnico del empleado
Puesto o cargo OID: 2.16.724.1.3.5.3.x.10 =
Unidad del empleado
OID: 2.16.724.1.3.5.3.x.11 =
Puesto o Cargo del empleado
Donde x tiene valor 1 para un Nivel de
Aseguramiento Alto y 2 para Medio

Pgina 67 de 73
12 ANEXO 1: Perfiles bsicos de interoperabilidad para los certificados de
persona fsica, persona jurdica y entidades sin personalidad jurdica,
usados en las relaciones con la Administracin General del Estado

Ante la falta de unos perfiles interoperables de persona fsica, jurdica y entidades sin
personalidad jurdica, los propuestos en este documento han sido recogidos en el que parece
un marco normativo ms apropiado para ellos: la Resolucin de la Poltica de Firma de la
Administracin General del Estado. De esta manera se da cumplimiento al mandato recogido
en el artculo 24 del Real Decreto 1671/2009 de desarrollo parcial de la Ley 11/2007, por el
que debe haber una poltica de firma y certificados, de la Administracin General del Estado,
constituida por las directrices y normas tcnicas aplicables a la utilizacin de certificados y
firma electrnica dentro de su mbito de aplicacin, lo que, afecta, a las relaciones de la
Administracin con los ciudadanos y entre sus distintos rganos.
En todo caso, los perfiles de los certificados, recogidos en esta Poltica de Firma y Perfiles de
certificados electrnicos, estarn en continua actualizacin, para adaptarse al estado del arte.
Especialmente, a lo que pueda derivarse de normativa de la Unin Europea. Para su
actualizacin se convocar al grupo de trabajo correspondiente, a travs de la CPCSAE.

12.1 Perfiles para los certificados de persona fsica, jurdica y entidades sin
personalidad jurdica

12.1.1 Reglas para todos:

Longitud mnima de clave pblica del certificado de usuario: 2048 bits.


Longitud mnima de clave del certificado de la CA: 2048 bits.
Longitud mxima de clave del certificado de la CA: 4096 bits.

Transitoriamente, los certificados de usuario de 1024 bits, se podrn seguir utilizando en


tanto en cuanto las Autoridades de Certificacin no completen su migracin y la plataforma
@Firma los d por vlidos.

12.1.2 Personas Fsicas


Alternativa 1:
Los datos de identificacin deben estar localizados en el Common Name del Subject
del certificado, con la siguiente estructura:

Obligatorios
Apellidos y Nombre del titular del certificado
En MAYSCULAS, separados nicamente por un espacio en blanco, de acuerdo con lo
indicado en el DNI/NIE. En caso de no existir el segundo apellido, se dejar en blanco (sin
ningn carcter)
Espacio en blanco

Pgina 68 de 73
Guin, u otro smbolo carcter
Separa los apellidos y el nombre del nmero de identificacin fiscal.

Espacio en blanco
Nmero de identificacin fiscal
Nmero de identificacin fiscal del titular, NIF, de acuerdo con lo indicado en su DNI o NIE.
Al NIF, tambin se le llama DNI o NIE.

Opcionales
Etiqueta NOMBRE,
De usarse, va delante de apellidos y nombre del titular, separada por un espacio.
Etiqueta NIF DNI NIE
El trmino NIF abarca tanto a DNI como a NIE. Se colocar tras el guin, u otro smbolo o
carcter de separacin, y delante del nmero de identificacin fiscal, separada, de ambos,
por un espacio. Caso de optar por la etiqueta DNI o NIE, en lugar de NIF, se usar aquella
que corresponda.
Literal (AUTENTICACION, FIRMA o CIFRADO)
Identifica la tipologa del certificado. En el caso de que se agrupen varios perfiles en un
nico certificado, no se deber incluir esta opcin. Este identificador siempre estar al final
del Common Name del Subject y entre parntesis, separado, por un espacio en blanco, del
nmero de identificacin fiscal.

Ejemplos:

DE LA CAMARA ESPAOL JUAN ANTONIO - DNI 00000000G (AUTENTICACION)

DE LA CAMARA ESPAOL JUAN ANTONIO - DNI 00000000G

NOMBRE DE LA CAMARA ESPAOL JUAN ANTONIO - NIF 00000000G

DE LA CAMARA ESPAOL JUAN ANTONIO |00000000G (AUTENTICACION)

DE LA CAMARA ESPAOL JUAN ANTONIO |00000000G

NOMBRE ESPAOL ESPAOL JUAN - NIF 99999999R

NOMBRE EXTRANJERO EXTRANJERO JUAN NIF X1234567H

NOMBRE EXTRANJERO EXTRANJERO JUAN NIE X1234567H

Pgina 69 de 73
Alternativa 2:
Los datos del campo Subject del certificado debern tener la siguiente estructura:

PERSONAS FSICAS
Country (PrintableString) Se codificar de
acuerdo a ISO 3166-1-alpha-2 code
elements Size [RFC 5280] 3
CommonName Identidad del Titular del Certificado (se
recomienda usar el formato de la
alternativa 1)
Surname Apellidos
(como constan en el DNI/NIE)
GivenName Nombre propio
(como consta en el DNI/NIE)
SerialNumber NIF del titular (NIF es el nmero y letra
que aparece en el DNI NIE segn
corresponda)

Country especifica el contexto en el que el resto de atributos debe ser entendido. No implica
necesariamente nacionalidad del subject o pas de emisin del certificado.

Ejemplos:

PERSONAS FSICAS
Country ES
CommonName DE LA CAMARA ESPAOL JUAN ANTONIO
- DNI 00000000G
Surname DE LA CAMARA ESPAOL
GivenName JUAN ANTONIO
SerialNumber 00000000G

PERSONAS FSICAS
Country ES
CommonName NOMBRE EXTRANJERO EXTRANJERO
JUAN NIE X9999999J
Surname EXTRANJERO EXTRANJERO
GivenName JUAN
SerialNumber X1234567H

Pgina 70 de 73
12.1.3 Personas Jurdicas o Entidades sin Personalidad Jurdica
Alternativa 1:
Los datos de identificacin deben estar localizados en el Common Name del Subject
del certificado, con la siguiente estructura:

Obligatorios
Razn Social titular del certificado en MAYSCULAS
Espacio en blanco
Guin, u otro smbolo carcter, que separe la razn social y el nmero de
identificacin fiscal de la razn social
Espacio en blanco
Nmero de identificacin fiscal de la razn social
Espacio en blanco
Guin, u otro smbolo carcter, que separe el nmero de identificacin fiscal, de la
razn social, de apellidos y nombre de la persona fsica responsable del certificado
Espacio en blanco
Apellidos y Nombre del responsable en MAYSCULAS
Espacio en blanco
Guin, u otro smbolo carcter, que separe apellidos y nombre, de la persona fsica
responsable del certificado, de su nmero de identificacin fiscal
Espacio en blanco
Nmero de identificacin fiscal del responsable

Opcionales
Etiqueta ENTIDAD
De usarse, va delante de la razn social titular, separada por un espacio.
Etiqueta CIF NIF
De usarse, va delante del nmero de identificacin fiscal, de la razn social, y detrs
del guin u otro smbolo o carcter de separacin, separada, de ambos, por un
espacio.
Etiqueta NOMBRE
De usarse, va delante de apellidos y nombre, de la persona fsica responsable del
certificado, y detrs del guin u otro smbolo o carcter de separacin, separada, de
ambos por un espacio.
Etiqueta NIF DNI NIE
De usarse, va delante del nmero de identificacin fiscal del responsable, y detrs del
guin u otro smbolo o carcter de separacin, separada de, ambos, por un espacio.

Ejemplos:

ENTIDAD AGENCIA ESTATAL DE ADMINISTRACIN TRIBUTARIA - CIF A28000001 - NOMBRE


ESPAOL ESPAOL JUAN - NIF 99999999R

ENTIDAD AGENCIA ESTATAL DE ADMINISTRACIN TRIBUTARIA NIF A28000001 NOMBRE


ESPAOL ESPAOL JUAN 99999999R

AGENCIA ESTATAL DE ADMINISTRACIN TRIBUTARIA - A28000001 ESPAOL ESPAOL JUAN


99999999R
ENTIDAD RAZN SOCIAL CIF A00000000 NOMBRE - EXTRANJERO EXTRANJERO JUAN NIE
X1234567H

Pgina 71 de 73
Alternativa 2:
Los datos del campo Subject del certificado debern tener la siguiente estructura:

PERSONAS JURDICAS o
ENTIDADES SIN PERSONALIDAD JURDICA
Country (PrintableString) Se codificar de acuerdo a ISO
3166-1-
alpha-2 code elements Size [RFC 5280] 3
CommonName Razn Social
Surname Apellidos del responsable
(como constan en el DNI)
GivenName Nombre propio del responsable
(como consta en el DNI)
SerialNumber NIF del titular del certificado
(persona jurdica o entidad sin personalidad
jurdica)
1.3.6.1.4.1.18838.1.1 NIF del responsable

Ejemplos:

PERSONAS JURDICAS o
ENTIDADES SIN PERSONALIDAD JURDICA
Country ES
CommonName AGENCIA ESTATAL DE ADMINISTRACIN
TRIBUTARIA
Surname ESPAOL ESPAOL
GivenName JUAN
SerialNumber A28000001
1.3.6.1.4.1.18838.1.1 99999999R

PERSONAS JURDICAS o
ENTIDADES SIN PERSONALIDAD JURDICA
Country ES
CommonName RAZN SOCIAL
Surname EXTRANJERO EXTRANJERO
GivenName JUAN
SerialNumber A00000000
1.3.6.1.4.1.18838.1.1 X1234567H

Pgina 72 de 73
13 ANEXO 2: Referencias

- ETSI TS 101862. Qualified Certificate Profile.

- ETSI TS 102280. x.509 V.3 Certificate Profile for Certificates Issued to Natural Persons.

- IETF RFC 2560. X.509 Internet Public Key Infrastructure. Online Certificate Status
Protocol - OCSP.

- IETF RFC 3279. Actualizada por RFC 4055, RFC 4491, RFC 5480, RFC 5758
Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure. Certificate
and Certificate Revocation List (CRL) Profile.

- IETF RFC 5280. Internet X.509 Public Key Infrastructure. Certificate and Certificate
Revocation List (CRL) Profile.

- IETF RFC 3739. Actualizada por RFC 3279, RFC 5756 Internet X.509 Public Key
Infrastructure. Qualified Certificates Profile.

- IETF RFC 4055. Additional Algorithms and Identifiers for RSA Cryptography for use in
the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List
(CRL) Profile.

- IETF RFC 4491 y RFC 3279. Using the GOST R 34.10-94, GOST R 34.10-2001, and
GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure
Certificate and CRL Profile.

- ISO 3166-1, alpha-2 country codes.

- ISO/IEC 9594-8/ITU-T X.509.

- CCN-STIC-405. Gua de seguridad de las TIC. Algoritmos y parmetros para firma


electrnica segura.

- Documento de la AEAT sobre perfiles de certificados de personas fsicas, personas


jurdicas y entidades sin personalidad jurdica, usados en las relaciones con la
Administracin General del Estado.

- Documento de la AEAT sobre perfiles de certificados de personas fsicas, personas


jurdicas y entidades sin personalidad jurdica, usados en las relaciones con la
Administracin General del Estado.

Pgina 73 de 73